ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ИКА.1

Организация* и выполнение деятельности по учету элементов критичной архитектуры:

ИКА.1.1

- бизнес- и технологических процессов**, реализуемых непосредственно финансовой организацией

О

О

т

ИКА.1.2

- бизнес- и технологических процессов, технологических операций (участков), реализуемых поставщиками услуг [переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов, предоставляемых поставщиками услуг]

О

О

т

ИКА.1.3

- подразделений финансовой организации, ответственных за разработку бизнес- и технологических процессов, поддержание их реализации бизнес- и технологических процессов

О

О

т

ИКА. 1.4

- технологических операций (участков) в рамках каждого из бизнес- и технологического процессов

Н

О

т

ИКА.1.5

- объектов информатизации (прикладного и инфраструктурного уровней) финансовой организации, задействованных при выполнении каждого из бизнес- и технологического процессов, в том числе их конфигураций

О

т

т

ИКА.1.6

- субъектов доступа, задействованных при выполнении каждого из бизнес- и технологического процессов

О

т

т

И КА. 1.7

- взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнес- и технологических процессов

Н

О

т

ИКА.1.8

- каналов передачи (информационных потоков) защищаемой информации***, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов

Н

О

т

ИКА.2

Организация и выполнение деятельности по классификации технологических операций (участков) бизнес- и технологического процессов, значимых в контексте необходимости применения технологических мер защиты информации в соответствии с приложением А

Н

О

т

ИКА.З

Организация и выполнение деятельности по классификации объектов информатизации инфраструктурного уровня, как минимум, по следующим системным уровням:

О

О

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ИКА.З

• - уровень аппаратного обеспечения;

• - уровень сетевого оборудования;

• - уровень сетевых приложений и сервисов;

• - уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;

• - уровень операционных систем, систем управления базами данных, серверов приложений

О

О

т

ИКА.4

Организация и выполнение деятельности по классификации объектов информатизации прикладного уровня (прикладного ПО автоматизированных систем и приложений), значимых в контексте отсутствия уязвимостей, как минимум по следующим типам:

- прикладное ПО автоматизированных систем и приложения финансовой организации, отвечающие критериям доступности из сети Интернет; - прикладное ПО автоматизированных систем и приложения, передаваемые клиентам финансовой организации для установки на их технические средства

О

О

т

ИКА.5

Организация и выполнение деятельности по классификации субъектов доступа по принадлежности работников к группе повышенного риска, обладающих привилегированным доступом к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов

О

О

т

ИКА.6

Организация и выполнение деятельности по учету и классификации сервисов поставщика облачных услуг и применяемых мер защиты информации в зависимости от модели предоставления сервиса:

• - SaaS (Software as a service) — ПО как услуга;

• - PaaS (Platform as a service) — платформа как услуга;

• - laaS (Infrastructure as a service) — инфраструктура как услуга

Н

О

т

ИКА.7

Организация и выполнение деятельности по классификации защищаемой информации (определению критериев отнесения информации к защищаемой и перечня ее типов), обрабатываемой, передаваемой и (или) хранимой финансовой организацией в рамках выполнения бизнес- и технологических процессов в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России [11]—[13]

О

О

т

ИКА.8

Организация и выполнение деятельности по классификации в зависимости от класса обрабатываемой, передаваемой и (или) хранимой защищаемой информации задействованных при этом:

ИКА.8.1

- объектов информатизации

О

О

т

ИКА.8.2

- субъектов доступа

О

О

т

ИКА.8.3

- каналов передачи (информационных потоков) защищаемой информации как внутри финансовой организации, так при взаимодействии с причастными сторонами

Н

О

т

ИКА.9

Организация и выполнение деятельности по фиксации результатов учета и классификации, предусмотренных мерами ИКА.1 — ИКА.8, с использованием стандартизованных нотаций описания (например, BPMN [21], TOGAF [22])

Н

Н

т

ИКА.10

Организация и выполнение деятельности по единому централизованному учету результатов идентификации и классификации, предусмотренных мерами ИКА.1 — ИКА.8

Н

Н

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ИКА. 11

Установление во внутренних документах финансовой организации для каждого из бизнес- и технологического процессов, входящих в критичную архитектуру, целевых показателей операционной надежности согласно приложению Б

О

О

О

ИКА.12

Контроль состава [обеспечение актуальности данных (инвентарных)] критичных активов (элементов критичной архитектуры)*⁴:

ИКА.12.1

- контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.1—ИКА.1.3

О

О

О

И КА.12.2

- контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.4 и ИКА.1.7

Н

О

О

ИКА. 12.3

- контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.5 и ИКА.1.6

О

Т

т

ИКА. 12.4

- контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерой ИКА.1.8

Н

О

т

И КА.13

Организация и выполнение деятельности по описанию актуальной топологии вычислительных сетей финансовой организации*⁵

Н

О

т

• * Организация деятельности должна включать отражение во внутренних документах финансовой организации регламента осуществления соответствующей деятельности и распределения ролей по ее выполнению.

• * * Перечень бизнес- и технологических процессов, обязательных для включения в критичную архитектуру, устанавливается нормативными актами Банка России [7], [8].

• * ** Рекомендуется использовать ГОСТ Р 58256.

• * ⁴ В целях обеспечения актуальности данных (инвентарных) о критичных активах (элементах критичной архитектуры) процесс идентификации критичной архитектуры должен быть интегрирован с процессом управления изменениями, а также реализован на этапах жизненного цикла объектов информатизации.

• * ⁵ Описание топологии вычислительных сетей финансовой организации должно, как минимум, содержать информацию о сетевом расположении (как минимум, ip-адресах):

• - сетевых роутеров;

• - средств защиты информации;

• - серверных устройств, задействованных в выполнении бизнес- и технологических процессов;

• - иных объектов информатизации, задействованных в реализации бизнес- и технологических процессов и (или) непосредственно взаимодействующих с сетью Интернет.

В случае привлечения поставщика облачных услуг описание топологии должно содержать информацию только о сетевом расположении устройств, находящихся под управлением финансовой организации.

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.1

Планирование, информирование вовлеченных подразделений о вносимых изменениях и контроль внесения изменений в критичную архитектуру

О

т

т

УИ.2

Классификация в целях приоритизации изменений (например, плановые, срочные и критичные изменения) в критичную архитектуру

О

О

О

УИ.З

Выявление, оценка и утверждение срочных и критичных изменений

О

О

О

УИ.4

Привлечение службы ИБ, а также при необходимости иных подразделений, формирующих «вторую линию защиты», в рамках процесса управления изменениями:

• - для выявления и идентификации риска реализации информационных угроз;

• - участия в разработке мероприятий, направленных на уменьшение негативного влияния от выявленного и идентифицированного риска реализации информационных угроз;

• - контроля за реализацией мероприятий, направленных на уменьшение негативного влияния от выявленного и идентифицированного риска реализации информационных угроз

Н

О

О

УИ.5

Реализация механизма согласования (в том числе со стороны службы ИБ, а также подразделения, ответственного за организацию управления операционным риском*) и утверждения внесения изменений в критичную архитектуру, в том числе назначение должностных лиц, ответственных за рассмотрение и утверждение предлагаемых изменений

О

О

О

УИ.6

Реализация формализованных процедур анализа вносимых изменений в критичную архитектуру в части:

УИ.6.1

- контроля соответствия заявленным целям внесения изменений

О

О

О

УИ.6.2

- контроля требований безопасности вносимых изменений

О

О

О

УИ.6.3

- реализации отдельных сред разработки, тестирования и постоянной эксплуатации, включая контроль переноса и целостности информации (данных) при переносе между указанными средами

Н

т

т

УИ.6.4

- контроля отсутствия известных (описанных) уязвимостей объектов информатизации

О

т

т

УИ.7

Реализация механизма последующего контроля внесенных изменений в критичную архитектуру, в том числе в части соблюдения установленных требований к процессу внесения изменений

О

О

О

УИ.8

Определение субъектов доступа, обладающих полномочиями для внесения изменений в критичную архитектуру в целях предоставления соответствующих прав доступа к объектам информатизации

О

О

т

УИ.9

Фиксация и протоколирование внесенных изменений в критичную архитектуру

Н

О

т

УИ.10

Реализация механизма возврата к исходным условиям функционирования, в том числе если внесенные изменения негативно повлияли на уровень риска реализации информационных угроз и (или) обеспечение операционной надежности

т

т

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.11

Интеграция процесса управления изменениями с процессом идентификации критичной архитектуры, включая:

УИ.11.1

- внесение изменений в критичную архитектуру с учетом оценки риска реализации информационных угроз (включая остаточный риск) и влияния на операционную надежность финансовой организации до и после внесения изменений

О

О

О

УИ.11.2

- обновление инвентарных данных о критичных активах (элементах критичной архитектуры) при внесении изменений в критичную архитектуру, в том числе для фиксации фактов внедрения новых, перемещения и (или) перепрофилирования существующих, а также выявления неучтенных объектов информатизации

Н

О

т

УИ.11.3

- обновление данных об используемых сервисах поставщиков облачных услуг и применяемых мерах защиты информации для таких сервисов

Н

О

т

УИ.12

Проведение анализа на предмет необходимости переоценки риска реализации информационных угроз** перед внесением изменений в критичную архитектуру финансовой организации, включая выявление фактов***, свидетельствующих о возможном изменении уровня такого риска

Н

О

О

• * Если требования нормативных актов Банка России не устанавливают обязанность финансовой организации создания соответствующего подразделения, в целях реализации механизма согласования следует привлекать службу управления рисками.

• * * В случае выявления необходимости переоценки риска реализации информационных угроз, по результатам такой переоценки финансовым организациям следует разработать мероприятия, направленные на снижение негативного влияния риска реализации информационных угроз перед внесением изменений в критичную архитектуру.

• * ** Например, выявление новых информационных угроз (и связанных с ними уязвимостей), неблагоприятные результаты анализа вносимых изменений, изменение или смена аппаратного, программного и (или) аппаратно-программного обеспечения, в том числе изменение конфигураций объектов информатизации.

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.13

Определение области применения процесса управления изменениями в части управления конфигурациями, включающей определение:

• - настраиваемых объектов информатизации* и устанавливаемых настроек**;

• - настраиваемых функций, портов, протоколов (включая протоколы удаленного доступа), служб (сервисов) для настраиваемых объектов информатизации;

• - состава ПО (в том числе прикладного ПО и приложений) на автоматизированных рабочих местах работников финансовой организации;

• - объектов информатизации, для которых невозможно обеспечить централизованную установку, применение и контроль внутренних стандартов конфигурирования объектов информатизации (стандартов конфигурирования);

• - состава используемых сервисов поставщиков облачных услуг (в случае наличия возможности определить состав таких сервисов)

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.14

Идентификация и поддержание в актуальном состоянии инвентарных данных о составе и конфигурациях объектов информатизации***

О

О

т

УИ.15

Определение процедур по установлению, применению и контролю стандартов конфигурирования, определяющих заданный уровень и необходимые политики (режимы) защиты информации

О

О

О

УИ.16

Включение в состав процедур по установлению, применению и контролю стандартов конфигурирования:

УИ.16.1

- централизованная*⁴ установка, применение и контроль (в том числе с применением средств автоматизации) стандартов конфигурирования

Н

О

т

УИ.16.2

- включение в состав стандартов конфигурирования условий функционирования объекта информатизации*⁵

О

О

О

УИ.16.3

- обеспечение соответствия стандартов конфигурирования текущей критичной архитектуре, установление и выполнение правил обновления (актуализации) стандартов конфигурирования

О

О

О

УИ.16.4

- хранение предыдущих версий стандартов конфигурирования и обеспечение возможности возврата к ним

Т

т

т

УИ.16.5

- раздельное управление стандартами конфигурирования (в том числе их раздельное использование) для сред разработки, тестирования и постоянной эксплуатации

н

т

т

УИ.16.6

- разграничение доступа и контроль несанкционированного изменения стандартов конфигурирования

О

т

т

УИ.16.7

- согласование (в том числе со стороны службы ИБ) и утверждение внесения изменений в стандарты конфигурирования

О

т

т

УИ.17

Привлечение службы ИБ в рамках процесса управления изменениями в части управления конфигурациями, включая согласование стандартов конфигурирования

О

О

О

УИ.18

Проведение регулярного контроля соответствия текущих конфигураций объектов информатизации стандартам конфигурирования, включая контроль со стороны службы ИБ, в целях:

УИ.18.1

- контроля и выявления несанкционированного изменения текущих конфигураций объектов информатизации, а также их несоответствия стандартам конфигурирования

О

т

т

УИ.18.2

- реагирования в случаях выявления несанкционированного изменения текущих конфигураций объектов информатизации

О

О

О

УИ.19

Применение для обеспечения безопасности конфигурирования объектов информатизации международных и отечественных практик, в том числе для проведения анализа безопасности применяемых (или планируемых к применению) конфигураций объектов информатизации

О

О

О

УИ.20

Разработка планов управления конфигурациями*⁶ на первоначальных этапах жизненного цикла (разработка или приобретение) объектов информатизации, входящих в критичную архитектуру

н

О

О

УИ.21

Управление конфигурациями объектов информатизации на этапах жизненного цикла, связанных с установкой (внедрением), обновлением (модификацией) и удалением (уничтожением) объектов информатизации

н

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.22

Определение, выполнение и контроль процедур* по выявлению, приоритизации, классификации, устранению, а также контролю полноты и своевременности устранения выявленных уязвимостей в критичной архитектуре, присущих:

УИ.22.1

- реализации бизнес- и технологических процессов

Н

О

О

УИ.22.2

- объектам информатизации прикладного уровня

Н

О

О

УИ.22.3

- объектам информатизации инфраструктурного уровня

О

О

О

УИ.23

Включение в состав процедур, предусмотренных мерой УИ.22, в отношении объектов информатизации инфраструктурного уровня:

УИ.23.1

- поддержание актуальности данных о доступных обновлениях (исправлениях) для устранения уязвимостей

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.23.2

- выявление необходимости применения соответствующих обновлений (исправлений) для отдельных объектов информатизации и проведение анализа безопасности их применения

О

О

О

УИ.23.3

- обеспечение корректного применения обновлений (исправлений), включая предварительный и последующий контроль их применения (например, согласно принципу «четырех глаз»)

Н

О

т

УИ.23.4

- документарное определение процедур, связанных с применением обновлений (исправлений)

Н

н

О

УИ.24

Применение инструментов и (или) способов выявления уязвимостей объектов информатизации, входящих в критичную архитектуру, обеспечивающих в том числе:

УИ.24.1

- выявление вредоносного кода

Т

т

т

УИ.24.2

- выявление неконтролируемого использования технологии мобильного кода**

н

т

т

УИ.24.3

- выявление неавторизованного логического доступа к ресурсам доступа, в том числе автоматизированным системам

т

т

т

УИ.25

Управление обновлениями (исправлениями) объектов информатизации в рамках процесса управления изменениями, включая:

УИ.25.1

- рассмотрение возможности применения соответствующих стандартов конфигурирования при применении обновлений (исправлений) объектов информатизации, входящих в критичную архитектуру

О

О

О

УИ.25.2

- реализации процедур предварительного анализа*** и согласования применения обновлений (исправлений)

О

О

т

УИ.25.3

- реализации процедур запрета применения обновлений (исправлений), которые предварительно не согласованы

О

О

_т*4

УИ.25.4

- реализации процедур быстрого восстановления выполнения бизнес- и технологических процессов (в том числе возврата к исходным условиям функционирования объектов информатизации) в случае неудачного применения обновлений (исправлений)*⁵

О

т

т

УИ.25.5

- применение отдельных сред разработки, тестирования и постоянной эксплуатации, обеспечивающих возможность быстрого тестирования

н

т

т

УИ.25.5

(проверки) обновлений (исправлений), а также при необходимости быстрого восстановления выполнения бизнес- и технологических процессов (возврата к исходным условиям функционирования объектов информатизации)

н

н

О

УИ.25.6

- анализа и применения передового опыта (в том числе по использованию средств автоматизации) в целях устранения технических и организационных недостатков, а также обеспечения контроля соответствия установленным стандартам конфигурирования и политикам (режимам) защиты информации

н

н

О

УИ.25.7

- контроль соответствия примененных (установленных) обновлений (исправлений) объектов информатизации наиболее актуальным (новейшим) версиям обновлений (исправлений)

О

О

т

УИ.25.8

- контроль своевременности применения (установки) обновлений (исправлений) объектов информатизации

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.26

Управление уязвимостями на этапах жизненного цикла разработки объектов информатизации прикладного уровня (прикладного ПО), включая применение инструментов анализа (инспекции) кода (code review), посредством статического и динамического тестирования

Н

О

О

УИ.27

Регулярный*⁶ анализ уязвимостей (сканирование на уязвимости) объектов информатизации инфраструктурного уровня, в том числе сканирование на уязвимости:

• - объектов информатизации, непосредственно взаимодействующих с сетью Интернет;

• - «внутренних» объектов информатизации, в том числе вычислительных сетей, на «границах» контуров безопасности

Н

О

О

УИ.28

Регулярное*⁷ тестирование на проникновение (симуляция компьютерных атак), в том числе тестирование на проникновение:

• - объектов информатизации, непосредственно взаимодействующих с сетью Интернет;

• - «внутренних» объектов информатизации, в том числе вычислительных сетей, на «границах» контуров безопасности

Н

О

О

УИ.29

Применение риск-ориентированного подхода к выбору объектов информатизации, подвергаемых тестированию на проникновение, в том числе в части периодичности проведения тестирования на проникновение

Н

О

О

УИ.ЗО

Проведение сканирования на уязвимости и (или) тестирование на проникновение при существенных изменениях в критичной архитектуре и (или) внедрении новых объектов информатизации (автоматизированных систем)

Н

О

О

УИ.31

Проведение анализа системных журналов для выявления фактов эксплуатации в прошлом уязвимостей, аналогичных вновь выявленным

Н

Н

О

УИ.32

Тестирование «red team», т. е. симуляция действий нарушителя безопасности в контролируемых условиях, в том числе для симуляции попыток реализации компьютерных атак в отношении объектов информатизации, входящих в критичную архитектуру, в соответствии с заранее определенными сценариями

Н

Н

О

УИ.ЗЗ

Использование в качестве источников информации об уязвимостях, а также регулярное обновление и контроль актуальности используемой информации для проведения сканирования на уязвимости:

• - баз данных общеизвестных уязвимостей (например, [26], [27]);

• - сведений об уязвимостях, полученных в рамках тестирования «red team»;

• - иных источников

О

О

О

УИ.34

Организация тестирования «red team» в отношении критичной архитектуры для оценки возможных уязвимостей, в том числе в процессах обеспечения операционной надежности и защиты информации, согласно следующим принципам:

• - применения надежных и ценных сведений об информационных угрозах (в том числе компьютерных атаках), полученных в рамках исследования (разведки) потенциальных угроз и основанных на актуальных и вероятных сценариях реализации таких угроз (в том числе компьютерных атак);

• - обеспечения независимости и компетентности команды, привлекаемой к тестированию «red team»

Н

Н

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

УИ.35

Ведение реестра выявленных и устраненных уязвимостей*⁸, в том числе фиксация совершенных действий по устранению уязвимостей

О

Т

т

УИ.36

Оценка эффективности*⁹ деятельности по управлению уязвимостями (как минимум с учетом времени, затрачиваемого на устранение уязвимостей с момента их выявления)

Н

О

О

УИ.37

Организация мониторинга статуса работ по устранению уязвимостей

Н

Т

т

• * Включая определение применяемых инструментов и (или) способов выявления уязвимостей.

• * * В том числе Java, JavaScript, ActiveX, VBScript и иные аналогичные технологии.

• * ** Предварительный анализ может включать:

• - анализ влияния обновлений (исправлений) на взаимосвязанные объекты информатизации и (или) их компоненты;

• - проверку работоспособности объектов информатизации после применения обновлений (исправлений) в среде тестирования;

• - определение действий в отношении обновлений (исправлений), проверка работоспособности в отношении которых прошла неуспешно.

• * ⁴ При невозможности технической реализации указанной меры путем применения технической меры [например, в отношении проприетарного ПО, обновление которого осуществляется посредством автоматизированных инструментов, предоставляемых разработчиком (поставщиком) такого ПО] рекомендуется рассматривать в качестве компенсирующих мер, направленных на предотвращение неконтролируемого применения обновлений (исправлений) объектов информатизации прикладного уровня, например применение автоматизированных инструментов последующего контроля соответствия запланированных и примененных обновлений (исправлений).

• * ⁵ Для обновлений (исправлений), применяемых в рамках среды постоянной эксплуатации, должен быть разработан план восстановления выполнения бизнес- и технологических процессов (возврата к исходным условиям функционирования объектов информатизации или использования резервных ресурсов, или применения альтернативных способов выполнения бизнес- и технологических процессов) в случае неудачного применения обновлений (исправлений).

• * ⁶ В случае выявления и (или) получения информации об уязвимостях, обладающих потенциалом негативного влияния на объекты информатизации финансовой организации, проводят внеплановое сканирование уязвимостей или ручную проверку при наличии информации о механизме эксплуатации уязвимости/«проверки концепции» (proof of concept).

• * ⁷ В случае внедрения изменений и (или) применения значительных обновлений (исправлений) объектов информатизации, непосредственно взаимодействующих с сетью Интернет, проводят их внеплановое тестирование на проникновение.

• * ⁸ Финансовым организациям следует рассмотреть возможность использования инструментов для работы в рамках Общей системы оценки уязвимостей (Common Vulnerability Scoring System).

• * ⁹ Оценку эффективности деятельности по управлению уязвимостями следует осуществлять в рамках регулярной оценки эффективности системы управления риском реализации информационных угроз, меры по проведению которой предусмотрены ГОСТ Р 57580.3, в том числе согласно требованиям нормативных актов Банка России [6].

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.1

Организация мониторинга и выявления событий, связанных с возможной реализацией информационных угроз в рамках процессов, реализуемых в соответствии с требованиями ГОСТ Р 57580.1, в целях своевременного обнаружения:

• - компьютерных атак;

• - аномальной активности лиц, имеющих легальный доступ к объектам информатизации финансовой организации;

• - неправомерного использования доступа поставщиками услуг или другими доверенными организациями;

• - фактов утечки защищаемой информации

О

О

О

ВРВ.2

Организация мониторинга и выявления событий реализации информационных угроз, предусмотренных мерой ВРВ.1, с учетом технического описания сценариев возможных компьютерных атак⁷

Н

О

О

ВРВ.З

Организация сбора и фиксации технических данных (свидетельств)⁸ о выявленных событиях реализации информационных угроз в рамках процессов защиты информации, реализуемых в соответствии с ГОСТ Р 57580.1, в целях проведения их последующего анализа, а также в случае необходимости проведения компьютерной экспертизы

Н

О

О

ВРВ.4

Создание механизмов инициативного информирования работниками финансовой организации о событиях реализации информационных угроз, в частности реализации компьютерных атак

О

О

т

ВРВ.5

Организация и выполнение деятельности по получению сведений об актуальных индикаторах компрометации объектов информатизации:

- от Банка России, осуществляющего направление таких сведений в соответствии с требованиями законодательства Российской Федерации [2]; - доверенных причастных сторон, осуществляющих направление таких сведений

Т

т

т

ВРВ.6

Реализация защиты от вредоносного кода на основе полученных сведений об актуальных индикаторах компрометации объектов информатизации, в том числе с привлечением для выполнения такой деятельности специалистов, обладающих необходимой компетенцией⁹

т

т

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.7

Определение порядка реагирования на инциденты, включая разработку и определение:

ВРВ.7.1

- целевых показателей реагирования на инциденты

О

О

О

ВРВ.7.2

- методологии проведения предварительной оценки потенциала влияния (критичности) инцидента, включая его классификацию согласно типовому перечню и классификационным признакам

Н

О

О

ВРВ.7.3

- типового перечня инцидентов и классификационных признаков, в том числе на основе классификатора событий риска реализации информационных угроз согласно приложениям А, Б, В, Г ГОСТ Р 57580.3—2022

О

О

О

ВРВ.7.4

- ролей, связанных с реагированием на инциденты

О

О

О

ВРВ.7.5

- правил и процедур (playbooks) реагирования на инциденты

О

О

О

ВРВ.7.6

- перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках реагирования на инциденты

О

О

О

ВРВ.7.7

- форматов и способов реализации информационного обмена об инцидентах внутри финансовой организации, а также с причастными сторонами в рамках реагирования на инциденты

О

О

О

ВРВ.7.8

- показателей оценки эффективности реагирования на инциденты, характеризующих степень достижения установленных целевых показателей

О

О

О

ВРВ.8

Утверждение порядка реагирования на инциденты единоличным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации

О

О

О

ВРВ.9

Определение в качестве целевых показателей реагирования на инциденты:

• - ограничение распространения и предотвращение повторения инцидентов внутри финансовой организации, а также среди причастных сторон, в том числе клиентов финансовой организации;

• - ограничение СТП инцидентов для финансовой организации для соблюдения контрольных и сигнальных значений КПУР, предусмотренных ГОСТ Р 57580.3, в том числе ограничение собственных финансовых потерь, а также финансовых потерь причастных сторон, включая клиентов финансовой организации;

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.9

- соблюдение допустимого времени простоя и (или) деградации бизнес- и технологических процессов, а также сигнальных и контрольных значений КПУР, предусмотренных ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6]—[8]

О

О

О

ВРВ.10

Включение в состав классификационных признаков инцидентов, как минимум:

• - типы компьютерных атак;

• - векторы (направления) компьютерных атак;

• - типы атакуемых объектов;

• - тип нарушителя безопасности информации;

• - бизнес- и технологические процессы (включая технологические участки), в рамках которых реализована или может быть реализована компьютерная атака;

• - возможные последствия, в том числе финансовых потерь от реализации инцидентов

Н

О

О

ВРВ.11

Организация и выполнение деятельности по проведению предварительной оценки потенциала влияния (критичности) инцидента, включая его классификацию согласно типовому перечню и классификационным признакам* в целях:

ВРВ.11.1

- применения соответствующего набора правил и процедур (playbooks) реагирования на инциденты, утверждаемого должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз

Н

О

О

ВРВ.11.2

- информирования причастных сторон (включая клиентов финансовой организации, в случае возникновения такой необходимости), на которых повлияли или могут повлиять последствия инцидента

О

О

О

ВРВ.11.3

- информирования Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации [5], в том числе нормативных актов Банка России [7], [8],[11]-[13], [33]

Н

О

О

ВРВ.12

Включение в состав ролей в рамках реагирования на инциденты в дополнение к ролям группы реагирования на инциденты защиты информации (ГРИЗИ), предусмотренным ГОСТ Р 57580.1:

ВРВ.12.1

- роли владельца инцидента (подразделения, в рамках деятельности которого произошел инцидент), ответственного за координацию своей деятельности в условиях реализации отдельного инцидента

Н

О

О

ВРВ.12.2

- роли независимого наблюдателя, ответственного за фиксацию (документирование) действий, предпринятых в рамках реагирования на каждом этапе реализации отдельного инцидента

Н

О

О

ВРВ.12.3

- роли ответственного за взаимодействие с общественностью и средствами массовой информации (СМИ), агрегирующего информацию о статусе обработки инцидентов для упорядоченного обновления и направления информационных сообщений для общественности и СМИ

Н

Н

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.13

Разработка** состава правил и процедур (playbooks) реагирования на инциденты на основе:

• - информации, полученной в рамках консультации с подразделениями, формирующими «первую линию защиты» (пример распределения подразделений финансовой организации согласно принципу «трех линий защиты» приведен в ГОСТ Р 57580.3);

• - возможных сценариев реализации информационных угроз (в том числе компьютерных атак);

• - сценариев реализовавшихся информационных угроз (в том числе компьютерных атак)

О

О

О

ВРВ.14

Включение в состав правил и процедур (playbooks) реагирования на инциденты, в том числе процедур:

ВРВ.14.1

- приоритизации, эскалации и принятия (или делегирования прав по принятию) решений в рамках реагирования на инциденты, в том числе на основе определенного уровня критичности инцидента

Н

Т

т

ВРВ.14.2

- взаимодействия финансовой организации с Банком России, причастными сторонами, в том числе с клиентами финансовой организации, в целях ограничения финансовых потерь от осуществления финансовых (банковских) операций, в том числе переводов денежных средств, без согласия клиента

О

т

т

ВРВ.14.3

- взаимодействия финансовой организации с общественностью и СМИ при реализации инцидентов

Н

О

О

ВРВ.14.4

- по ограничению распространения инцидентов

О

О

О

ВРВ.14.5

- по снижению СТП инцидентов

О

О

О

ВРВ.14.6

- сбора и фиксации технических данных (свидетельств) в рамках реагирования на инциденты для анализа причин и последствий реализации инцидентов

Н

О

т

ВРВ.14.7

- формирования отчетности в рамках реагирования на инциденты, в том числе в целях реализации требований нормативных актов Банка России, в частности [6]

О

О

т

ВРВ.15

Организация и выполнение деятельности в рамках реагирования на инциденты согласно установленным правилам и процедурам (playbooks) в зависимости от уровня влияния (критичности) инцидента

О

О

О

ВРВ.16

Организация и выполнение деятельности по ограничению распространения инцидентов внутри финансовой организации, а также среди причастных сторон (за исключением клиентов финансовой организации), в том числе:

ВРВ.16.1

- оперативное устранение или ограничение воздействия источников и причин реализации инцидентов

О

О

т

ВРВ.16.2

- изоляция или отключение объектов информатизации (части объектов информатизации), на которые повлияла или может повлиять реализация инцидента***

О

О

т

ВРВ.17

Организация и выполнение деятельности по снижению тяжести последствий от реализации инцидентов, в том числе:

ВРВ.17.1

- сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры, с учетом технического описания сценариев возможных компьютерных атак

Н

О

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.17.2

- применение риск-ориентированной модели для установления лимитов по параметрам финансовых (банковских) операций, в том числе переводов денежных средств, при использовании каналов дистанционного обслуживания

Н

О

т

ВРВ.17.3

- реализация механизмов приостановления осуществления финансовых (банковских) операций, в том числе операций по переводу денежных средств, в соответствии с нормативными актами Банка России [34]

Н

О

т

ВРВ.18

Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств)*⁴ в рамках реагирования на инциденты, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных данных

Н

т

т

ВРВ.19

Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями

Н

н

О

ВРВ.20

Уничтожение всех вредоносных элементов (артефактов) с объектов информатизации, в отношении которых реализовался инцидент, после сбора и фиксации технических данных (свидетельств)

Т

т

т

• * Для проведения предварительной оценки потенциала влияния (критичности) инцидента финансовой организацией должны быть заранее определены шкала критичности инцидентов и критерии отнесения инцидентов к различным уровням согласно данной шкале. Результатом такой оценки является присвоение уровня критичности инциденту согласно заранее определенной шкале.

• * * Для проработки или проверки отдельных норм (в том числе технического характера), требующих высокой квалификации исполнителя, в рамках разработки правил и процедур (playbooks) реагирования на инциденты финансовым организациям следует привлекать внутренних или внешних экспертов.

• * ** При принятии решений об изоляции или отключении объектов информатизации (части объектов информатизации), на которые повлияла или может повлиять реализация инцидента, финансовым организациям следует учитывать влияние таких действий:

• - на осуществление видов деятельности финансовой организации;

• - уровень операционного риска;

• - затраты и потери финансовой организации.

• * ⁴ Организацию и выполнение деятельности по сбору и фиксации технических данных (свидетельств) целесообразно осуществлять с учетом рекомендаций, приведенных в [32].

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.21

Определение порядка восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, включая разработку и определение:

ВРВ.21.1

- целевых показателей восстановления после реализации инцидентов

О

О

О

ВРВ.21.2

- ролей, связанных с восстановлением после реализации инцидентов

О

О

О

ВРВ.21.3

- правил и процедур (playbooks) восстановления после реализации инцидентов

Н

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.21.4

- перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках восстановления после реализации инцидентов

О

О

О

ВРВ.21.5

- форматов и способов реализации информационного обмена о предпринятых действиях и статусе восстановления после инцидентов внутри финансовой организации, а также с причастными сторонами в рамках восстановления после реализации инцидентов

О

О

О

ВРВ.21.6

- критериев оценки завершения восстановления и условий закрытия инцидента

О

О

О

ВРВ.21.7

- показателей оценки эффективности восстановления после реализации инцидентов

О

О

О

ВРВ.22

Утверждение порядка восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов единоличным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации

О

О

О

ВРВ.23

Определение в качестве целевых показателей восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов:

• - выявление и устранение причин реализации инцидентов;

• - восстановление функционирования бизнес- и технологических процессов и объектов информатизации, а также восстановление данных финансовой организации в соответствии с заданными объемами (ЦТВД) и временными периодами (ЦВВ), устанавливаемыми с учетом допустимого уровня простоя и (или) деградации бизнес- и технологических процессов, а также сигнальных и контрольных значений КПУР, предусмотренных ГОСТ Р 57580.3

О

О

О

ВРВ.24

Определение ролей, связанных с восстановлением функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, и привлечение к их выполнению, в том числе: - работников службы информационной безопасности;

• - работников подразделения информатизации, ответственных за поддержание функционирования объектов информатизации;

• - работников подразделений, формирующих «первую линию защиты»;

• - работников иных подразделений, формирующих «вторую линию защиты», в случае необходимости;

• - внешних экспертов, посредством заключения соответствующих контрактов (договоров) в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников

О

О

О

ВРВ.25

Разработка (а также утверждение должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз) состава правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов на основе:

• - информации, полученной в рамках консультации с владельцами биз-нес-процессов финансовой организации;

• - условий функционирования объектов информатизации;

• - сценариев реализовавшихся информационных угроз

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.26

Включение в состав правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов:

ВРВ.26.1

- процедур выявления и устранения причин реализации инцидентов, в том числе путем обновления состава объектов информатизации финансовой организации

О

О

О

ВРВ.26.2

- процедур восстановления выполнения бизнес- и технологических процессов финансовой организации в заданные временные периоды (согласно ЦВВ)

О

О

О

ВРВ.26.3

- процедур восстановления функционирования объектов информатизации на каждом из уровней информационной инфраструктуры с учетом взаимосвязей и взаимозависимостей между объектами информатизации

О

О

О

ВРВ.26.4

- процедур восстановления данных* с помощью резервных копий в заданных объемах (согласно ЦТВД)

Т

т

т

ВРВ.26.5

- процедур привлечения, в случае необходимости, компетентных специалистов соответствующих организаций — поставщиков услуг

О

О

О

ВРВ.26.6

- процедур по снижению СТП инцидентов

О

О

О

ВРВ.26.7

- процедур сбора и фиксации технических данных (свидетельств) в рамках восстановления после реализации инцидентов для анализа причин и последствий реализации инцидентов

н

т

т

ВРВ.26.8

- процедур формирования отчетности в рамках восстановления после реализации инцидентов

О

О

т

ВРВ.26.9

- графика (приоритетности и последовательности) при восстановлении функционирования бизнес- и технологических процессов и объектов информатизации

О

О

О

ВРВ.27

Организация и выполнение деятельности в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным** правилам и процедурам (playbooks)

О

О

О

ВРВ.28

Регистрация (документирование) выполняемых действий (операций)*** (а также фиксация времени начала и окончания их выполнения) в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным правилам и процедурам (playbooks)

н

О

т

ВРВ.29

Организация и выполнение деятельности по снижению СТП инцидентов, в том числе:

ВРВ.29.1

- обеспечение непрерывности выполнения бизнес- и технологических процессов за счет использования резервных (альтернативных) каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации

О

О

О

ВРВ.29.2

- обеспечение возможности перехода от эксплуатации основных каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации к резервным (альтернативным) в соответствии с заданными временными периодами (ЦВВ) и заданными объемами восстановления данных (ЦТВД)

О

т

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.ЗО

Определение в качестве критериев для оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации и условий закрытия инцидента, в том числе: - проведение тестирования (проверки)*⁴ восстановленных бизнес- и технологических процессов, объектов информатизации и данных;

- полное устранение или нейтрализация воздействия источника реализовавшегося инцидента

О

О

О

ВРВ.31

Организация и выполнение деятельности по проведению оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации согласно определенным критериям перед принятием решения о закрытии соответствующего инцидента

О

О

О

ВРВ.32

Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств)*⁵ в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных технических данных (свидетельств)

Н

Т

т

ВРВ.ЗЗ

Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями

Н

н

О

Процедуры восстановления данных должны разрабатываться и применяться с учетом требований, предъявляемых подразделениями, формирующими «первую линию защиты». Процедуры восстановления данных должны предусматривать возможность восстановления данных на стороне причастных сторон — участников финансовой экосистемы и поставщиков услуг. В отношении восстанавливаемых данных следует применять механизмы обеспечения целостности таких данных (сверки сданными из резервных центров хранения, проверки контрольных сумм). При наиболее неблагоприятном сценарии допускается восстановление данных финансовой организацией на основе сведений причастных сторон — участников финансовой экосистемы и поставщиков услуг, в том числе клиентов финансовой организации.

• * * В случае необходимости отклонения от утвержденных правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов такие отклонения проходят предварительную проверку и утверждаются должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз, до их внедрения.

• * ** Регистрация (документирование) операций, выполняемых в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, включает описание примененных инструментов и внесенных в настройки объектов информатизации изменений в виде, позволяющем использовать этот опыт в будущем при решении подобных проблем.

• * ⁴ Перед возвращением объектов информатизации в режим штатного функционирования в производственной среде финансовым организациям следует провести соответствующие тесты на предмет:

• - полного устранения вредоносных элементов (артефактов) от реализации инцидента, связанного с реализацией информационных угроз, в объектах информатизации;

• - работоспособности объектов информатизации;

• - соответствия настроек объектов информатизации установленным требованиям к безопасности.

• * ⁵ Организацию и выполнение деятельности по сбору и фиксации технических данных (свидетельств) целесообразно осуществлять с учетом рекомендаций, приведенных в [32].

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.34

Организация и выполнение деятельности по проведению анализа причин и последствий реализации инцидентов, включающего:

ВРВ.34.1

- определение целевых показателей анализа технических данных (свидетельств)

Н

О

О

ВРВ.34.2

- сбор и анализ технических данных (свидетельств)* в рамках выявления, реагирования на инциденты и восстановления после их реализации

Н

т

т

ВРВ.34.3

- определение источников и выявление причин реализации инцидентов

О

т

т

ВРВ.34.4

- описание сценариев реализации инцидентов

Н

н

О

ВРВ.34.5

- оценку последствий от реализации инцидентов, влияния последствий на КПУР, предусмотренных ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6]—[8], в том числе оценку прямых и непрямых финансовых потерь от реализации инцидентов

О

О

О

ВРВ.34.6

- привлечение, при необходимости, к такому анализу Банка России (Фин-ЦЕРТ)**

О

О

О

ВРВ.34.7

- фиксацию и информирование о результатах проведенного анализа, в том числе в базе событий риска, предусмотренной ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6]

О

О

О

ВРВ.34.8

- оценку эффективности*** выявления, реагирования на инциденты и восстановления после их реализации

О

О

О

ВРВ.35

Организация и выполнение деятельности по проведению компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг, в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников

Н

н

О

ВРВ.36

Определение в качестве целевых показателей анализа технических данных (свидетельств), собранных в рамках выявления, реагирования на инциденты и восстановления после их реализации:

• - определение (в том числе выявление новых) сценариев реализации инцидентов;

• - предотвращение повторной реализации инцидентов;

• - проведение идентификации субъектов, реализующих инциденты;

• - своевременное выявление маркеров «скрытого» несанкционированного управления объектами информатизации

Н

О

О

ВРВ.37

Организация и выполнение деятельности по информированию о результатах проведенного анализа причин и последствий реализации инцидентов:

• - исполнительного органа финансовой организации*⁴;

• - должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз;

• - причастных сторон (за исключением клиентов финансовой организации);

• - Банка России (ФинЦЕРТ)*⁵

О

О

О

ВРВ.38

Определение в качестве показателей для оценки эффективности выявления, реагирования на инциденты и восстановления после их реализации:

- оперативности выявления, регистрации и реагирования на инцидент;

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.38

• - своевременности и корректности предварительной оценки влияния (критичности) инцидента;

• - полноты, качества и оперативности восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидента;

• - эффективности выполнения процедур приоритизации, эскалации и принятия (или делегирования прав по принятию) решений;

• - эффективности взаимодействия в рамках реагирования на инциденты и восстановления после их реализации как внутри финансовой организации, так и с причастными сторонами, в том числе клиентами финансовой организации

О

О

О

• * Организацию и выполнение деятельности по сбору и фиксации технических данных (свидетельств) целесообразно осуществлять с учетом рекомендаций, приведенных в [32].

• * * Финансовой организации следует определить условия привлечения к проведению анализа причин и последствий реализации инцидентов Банка России (ФинЦЕРТ).

• * ** Оценку эффективности деятельности по выявлению, реагированию на инциденты и восстановлению после их реализации следует осуществлять в рамках регулярной оценки эффективности системы управления риском реализации информационных угроз, меры по проведению которой предусмотрены ГОСТ Р 57580.3, в том числе согласно требованиям нормативных актов Банка России, в частности [6].

• * ⁴ Финансовой организацией должны быть определены формат и условия информирования исполнительного органа финансовой организации о результатах проведенного анализа причин и последствий реализации инцидентов.

• * ⁵ Мера применяется в отношении тех инцидентов, о которых следует информировать Банк России на основании требований нормативных актов Банка России [7], [8], [11]—[13], [33] в соответствии с установленными формами и сроками [35].

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.39

Организация и выполнение деятельности по информированию* об инцидентах Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации [5], в том числе нормативных актов Банка России [7], [8], [11]—[13], [33]

О

Т

т

ВРВ.40

Организация взаимодействия в целях координации действий по реагированию на инциденты и восстановлению после их реализации:

• - внутри финансовой организации (между структурными подразделениями, формирующими «три линии защиты»);

• - с причастными сторонами (за исключением клиентов финансовой организации), включая поставщиков услуг (в том числе поставщиков облачных услуг);

• - с Банком России (ФинЦЕРТ)

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.41

Организация и выполнение деятельности по информированию** согласно определенным форматам и способам информационного обмена в рамках реагирования на инциденты и восстановления после их реализации: - совета директоров (наблюдательного совета) финансовой организации и исполнительного органа финансовой организации;

• - должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз;

• - структурных подразделений, формирующих «три линии защиты» в рамках управления риском реализации информационных угроз;

• - причастных сторон, в том числе клиентов финансовой организации

О

О

О

ВРВ.42

Организация и выполнение деятельности по подготовке и направлению на рассмотрение совету директоров (наблюдательному совету) или коллегиальному исполнительному органу финансовой организации отчетов о реагировании на инциденты и восстановлении после их реализации не реже одного раза в год (в том числе согласно требованиям нормативного акта Банка России [6]), оказавших влияние на фактические значения КПУР, предусмотренные ГОСТ Р 57580.3 (с указанием информации, характеризующей влияние инцидентов на фактические значения КПУР) с учетом требований нормативных актов Банка России [6]—[8]

Н

О

О

ВРВ.43

Организация и выполнение деятельности по информированию должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, по каждому факту реализации инцидентов:

• - о масштабах влияния реализации инцидента на осуществление видов деятельности финансовой организации, о влиянии на фактические значения КПУР, предусмотренные ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6]—[8];

• - бизнес- и технологических процессах, на непрерывность выполнения которых оказано влияние в результате реализации инцидента;

• - сроках и условиях, при которых будет восстановлено выполнение бизнес-и технологических процессов, в том числе восстановлено функционирование задействованных объектов информатизации;

• - предпринятых и запланированных действиях в рамках реагирования на инциденты и восстановления после их реализации, а также статусе выполнения соответствующих работ;

• - сведениях, которые могут быть раскрыты и доведены до потребителей финансовых услуг

О

О

О

ВРВ.44

Организация и выполнение деятельности по информированию причастных сторон (за исключением клиентов финансовой организации):

• - о влиянии реализации инцидента на непрерывность выполнения взаимосвязанных и взаимозависимых бизнес- и технологических процессов;

• - предпринятых и запланированных действиях в рамках реагирования на инциденты и восстановления после их реализации, а также статусе выполнения соответствующих работ

О

О

О

ВРВ.45

Организация и выполнение деятельности по информированию клиентов финансовой организации в рамках взаимодействия при реализации инцидентов:

• - о влиянии инцидента на предоставление финансовых и (или) информационных услуг, а также на конфиденциальность данных клиентов финансовой организации, в том числе их аутентификационных данных, используемых в рамках каналов дистанционного обслуживания;

• - планируемых сроках и условиях, которые необходимы для восстановления предоставления финансовой организацией финансовых и (или) информационных услуг;

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВРВ.45

- рекомендуемых действиях, которые следует предпринять клиентам финансовой организации для снижения риска реализации информационных угроз

О

О

О

Направление информации о фактах реализации инцидентов следует осуществлять в соответствии с установленными формами и сроками [35].

** Финансовой организации должен быть определен порядок эскалации инцидентов [включая условия информирования совета директоров (наблюдательного совета), исполнительного органа финансовой организации], условия информирования причастных сторон, в том числе клиентов финансовой организации, а также сроки информирования об инцидентах, в том числе с учетом требований нормативных актов Банка России к информированию о событиях риска реализации информационных угроз, в частности [6].

Мера (в том числе меры ВРВ.42—ВРВ.45) применяется в отношении инцидентов, о которых следует информировать Банк России на основании требований нормативных актов Банка России [7], [8], [11]—[13], [33] в соответствии с установленными формами и сроками [35].

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВПУ.1

Обнаружение и предотвращение вторжений (несанкционированных сетевых подключений) посредством объектов информатизации, используемых поставщиками услуг в рамках своей деятельности

Н

Т

Т

ВПУ.2

Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети финансовой организации*

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВПУ.З

Определение процедур по обеспечению безопасности цепи поставок (для целей обеспечения операционной надежности) в отношении поставщиков услуг, входящих в критичную архитектуру, включая:

ВПУ.З. 1

- определение приоритета в отношении поставщиков услуг, реализующих необходимые процедуры по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации, в том числе обеспечивающих «прозрачность» в отношении реализуемых ими процессов производства и сопровождения объектов информатизации, а также имеющих необходимую зрелость собственных процессов обеспечения безопасности цепи поставок, подтвержденную посредством проведения независимой оценки (внешнего аудита)**

Н

О

О

ВПУ.3.2

- анализ деятельности поставщиков услуг [в том числе до заключения соглашений на поставку объектов информатизации и (или) предоставление сторонних информационных сервисов], включая оценку реализуемых поставщиком услуг процедур по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации и минимизации риска их несанкционированной модификации на этапах поставки

Н

О

О

ВПУ.3.3

- оценку квалификации, опыта и репутации поставщиков услуг

О

О

О

ВПУ.З.4

- использование всевозможных источников информации для анализа и оценки поставщиков объектов информатизации и (или) сторонних информационных сервисов

О

О

О

ВПУ.З.5

- выявление слабостей или недостатков цепи поставок посредством проведения независимой оценки (внешнего аудита)**

Н

Н

О

ВПУ.3.6

- предварительную оценку (испытание, тестирование) объектов информатизации перед их использованием в качестве элементов критичной архитектуры (на этапах подбора или принятия в эксплуатацию, а также при их модернизации)

Н

т

т

ВПУ.4

Разработка и применение процедур по обеспечению безопасности цепи поставок в отношении процессов обеспечения операционной надежности финансовой организации, переданных на аутсорсинг, в том числе:

ВПУ.4.1

- заключение соглашений об уровне оказания услуг (SLA) и неразглашении информации конфиденциального характера (NDA) в отношении поставщиков услуг***

О

О

О

ВПУ.4.2

- назначение основного и альтернативного поставщиков услуг (в том числе поставщика услуг, связанных с защитой от информационных угроз) в том случае, если основной поставщик услуг не сможет оказывать необходимый уровень услуг в кризисной ситуации*⁴

Н

О

О

• * В частности, разработка и применение процедур изоляции и (или) блокирования сетевого взаимодействия с объектами информатизации поставщиков услуг, а также каналов взаимодействия, представляющих угрозу для вычислительных сетей и объектов информатизации финансовой организации.

• * * Принятие решений о проведении независимой оценки (внешнего аудита) следует осуществлять на основе риск-ориентированного подхода. Рекомендуется рассматривать проведение независимой оценки системы менеджмента безопасности цепи поставок согласно ГОСТ Р ИСО 28000.

“* Если для предоставления услуг финансовой организации поставщик заключает дополнительные договоры с подрядными организациями, в отношении данных подрядных организаций должны быть заключены SLA и NDA.

• * ⁴ Например, при реализации крупномасштабного инцидента.

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВПУ.5

Диверсификация риска нарушения поставок и сопровождения объектов информатизации, в том числе по государственной принадлежности*

Н

О

О

ВПУ.6

Включение в договор (контракт) о разработке объектов информатизации или поставке готовых объектов информатизации финансовым организациям положений по сопровождению (технической поддержке) и (или) техническому обслуживанию поставляемых изделий на планируемый срок их использования**

Н

О

О

ВПУ.7

Пролонгация договора (контракта) относительно сопровождения (технической поддержки) и (или) технического обслуживания поставляемых объектов информатизации, предусмотренного мерой ВПУ.6, в случае принятия решения о расширении ранее планируемого срока использования поставляемых объектов информатизации**

Н

О

О

ВПУ.8

Установление требований к обеспечению операционной надежности и защиты информации на этапах жизненного цикла проектируемых и разрабатываемых по заказу, а также приобретаемых объектов информатизации

О

О

О

ВПУ.9

Проведение на регулярной основе анализа эксплуатируемых финансовой организацией объектов информатизации с целью выявления продуктов, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено или планируется прекратить

О

О

О

ВПУ.10

Принятие решений по объектам информатизации, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено, включая:

• - отказ от эксплуатации и замену объектов информатизации, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено;

• - обоснование и документирование (фиксация) решения о дальнейшей эксплуатации объектов информатизации (их компонентов), сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено

О

О

О

ВПУ.11

Организация сопровождения (технической поддержки и выпуска обновлений) объектов информатизации, сопровождение которых поставщиками прекращено, самостоятельно или посредством привлечения альтернативных поставщиков, включая разработку, применение и контроль дополнительных мер, направленных на устранение уязвимостей таких объектов информатизации***

О

О

О

ВПУ.12

Своевременное, планируемое и контролируемое техническое обслуживание объектов информатизации прикладного и инфраструктурного уровней, входящих в критичную архитектуру, в том числе:

ВПУ.12.1

- авторизация и регистрация операций, осуществляемых в рамках технического обслуживания, а также аутентификация осуществляющих их субъектов доступа

Н

т

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ВПУ.12.2

- контроль соблюдения требований к обеспечению защиты информации в процессе технического обслуживания, направленных на обеспечение целостности, конфиденциальности и доступности информации

О

О

О

ВПУ.12.3

- проведение технического обслуживания в соответствии со спецификациями (техническими требованиями и условиями) поставщиков объектов информатизации и (или) требованиями финансовой организации

О

О

О

ВПУ.12.4

- тестирование (проверка) работоспособности объектов информатизации после проведения технического обслуживания для выявления риска нарушения операционной надежности

Н

т

т

ВПУ.13

Контроль удаленного технического обслуживания и диагностики, осуществляемых при подключении извне вычислительных сетей финансовой организации, в том числе предусматривающий:

ВПУ13.1

- многофакторную аутентификацию субъектов доступа, осуществляющих удаленное техническое обслуживание и диагностику

О

т

т

ВПУ13.2

- регистрацию операций, осуществляемых в рамках удаленного технического обслуживания и диагностики объектов информатизации;

Т

т

т

ВПУ13.3

- завершение сессии и прерывание сетевого подключения субъектов доступа после окончания удаленного технического обслуживания

н

О

т

ВПУ13.4

- последующий контроль и анализ операций, осуществляемых в рамках удаленного технического обслуживания и диагностики

О

О

О

ВПУ.13.5

- установление в договорах (контрактах) требований к осуществлению удаленного технического обслуживания и диагностики только посредством объектов информатизации, в отношении которых реализован тот же уровень защиты (в том числе защиты информации), который применяется для обслуживаемых объектов информатизации

т

т

т

ВПУ13.6

- использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании

т

т

т

ВПУ13.7

- применение средств защиты информации для защиты целостности и конфиденциальности сессий сетевого взаимодействия при удаленном техническом обслуживании и диагностике

т

т

т

ВПУ.13.8

- контроль и подтверждение завершения сессий и прерывания сетевого подключения субъектов доступа после окончания удаленного технического обслуживания и диагностики

н

т

т

ВПУ.14

Привлечение к сопровождению и техническому обслуживанию объектов информатизации финансовой организации лиц, обладающих соответствующей квалификацией

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ТОНИ

Установление и реализация программ по сценарному анализу и тестированию готовности финансовой организации противостоять реализации информационных угроз, включая:

ТОН.1.1

- формирование сценариев реализации информационных угроз, в том числе компьютерных атак

Н

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ТОН. 1.2

- тестирование возможностей по мониторингу и выявлению фактов реализации информационных угроз

О

О

О

ТОН.1.3

- тестирование процедур реагирования на инциденты и восстановления после их реализации

О

О

О

ТОН. 1.4

- тестирование сценариев, предусматривающих сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры с учетом технического описания таких сценариев

Н

О

О

ТОН.1.5

- оценку подготовленности работников финансовой организации противостоять реализации информационных угроз, в том числе компьютерных атак

О

О

О

ТОН. 1.6

- оценку достаточности ресурсного (кадрового и материального) обеспечения для реагирования на инциденты и восстановления после их реализации

О

О

О

ТОН.2

Определение во внутренних документах финансовой организации методологии (за исключением случаев привлечения поставщиков услуг) и порядка проведения сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз

О

О

О

ТОН.З

Организация и выполнение деятельности по формированию и регулярному пересмотру сценариев реализации информационных угроз на основе информации:

• - об инцидентах, характерных для вида деятельности финансовой организации*;

• - инцидентах, характерных для технологических участков бизнес- и технологических процессов;

• - проведенных ранее тестированиях готовности финансовой организации противостоять реализации информационных угроз;

• - актуальных сценариях реализации информационных угроз, в том числе компьютерных атак

О

О

О

ТОН.4

Организация и выполнение деятельности по тестированию готовности финансовой организации противостоять реализации информационных угроз на основе сформированных сценариев, включая:

• - выявление конфигураций объектов информатизации, имеющих слабости и (или) уязвимости;

• - выявление актуальных слабостей (уязвимостей) используемых объектов информатизации;

• - определение актуальных компьютерных атак, которые могут быть реализованы путем эксплуатации выявленных уязвимостей;

• - определение вероятных инцидентов, связанных с реализацией информационных угроз, к которым может привести реализация актуальных компьютерных атак;

• - определение потенциальных последствий от реализации инцидентов, в том числе максимально возможных финансовых потерь

Н

О

О

ТОН.5

Организация и выполнение деятельности по тестированию возможностей мониторинга и выявления на предмет своевременного обнаружения фактов реализации информационных угроз (в том числе компьютерных атак), а также контроль актуальности используемых данных об индикаторах компрометации объектов информатизации

Н

О

т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ТОН.6

Организация и выполнение деятельности по тестированию процедур реагирования на инциденты и восстановления после их реализации, в том числе совместно с причастными сторонами в целях:

ТОН.6.1

- тестирования возможности финансовой организации обеспечить эффективное реагирование на инциденты и восстановление после их реализации в соответствии с заданными временными периодами (ЦВВ)

О

О

О

ТОН.6.2

- тестирования возможности финансовой организации совместно с причастными сторонами обеспечить эффективное реагирование на инциденты и восстановление после их реализации в соответствии с заданными временными периодами (ЦВВ), в том числе в отношении переданных на аутсорсинг бизнес- и технологических процессов

О

О

О

ТОН.6.3

- тестирования возможностей финансовой организации обеспечить эффективное взаимодействие с причастными сторонами при реализации инцидентов

О

О

О

ТОН.6.4

- тестирования возможности финансовой организации обеспечить своевременное информирование об инцидентах Банка России, федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также причастных сторон

О

О

О

ТОН.7

Установление точных целей в рамках каждого из проводимых тестирований готовности финансовой организации противостоять реализации информационных угроз и целевых показателей, посредством которых оценивают их достижение

О

О

О

ТОН.8

Разработка и использование в рамках тестирования готовности финансовой организации противостоять реализации информационных угроз, в том числе сценариев, реализующих методы:

• - «социальной инженерии» [побуждения работников финансовой организации к осуществлению операций (действий) путем обмана или злоупотребления доверием];

• - «фишинга» (использование информации, вводящей работников финансовых организаций в заблуждение относительно принадлежности информации, распространяемой посредством сети Интернет, вследствие сходства доменных имен, оформления или содержания)

О

О

О

ТОН.9

Разработка и использование сценариев, предполагающих значительное влияние на деятельность финансовой организации (включая существенные финансовые потери)**, для определения потенциала такого влияния и оценки риска реализации информационных угроз (стресс-тестирование***), предусмотренной в рамках ГОСТ Р 57580.3

Н

Н

О

ТОН.10

Информирование коллегиального исполнительного органа и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, о результатах проведения стресс-тестирования, предусмотренного мерой ТОН.9

Н

Н

О

ТОН.11

Определение и анализ показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз

О

О

О

ТОН.12

Использование результатов мониторинга и анализа показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз для последующей доработки (совершенствования) таких программ

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ТОН. 13

Разработка сценариев и проведение периодических тестирований готовности финансовой организации противостоять реализации информационных угроз в условиях, приближенных к реальным, с привлечением: - структурных подразделений финансовой организации и должностных лиц, принимающих решения в рамках реагирования на инциденты и восстановления после их реализации;

- ключевых причастных сторон (за исключением клиентов финансовой организации)

Н

Н

О

ТОН. 14

Участие финансовой организации (при наличии возможности) в тестированиях готовности противостоять реализации информационных угроз, проводимых иными организациями, в том числе в рамках соответствующих мероприятий межсекторального и трансграничного характера

Н

Н

н

• * Для кредитных организаций вместо видов деятельности следует рассматривать направления деятельности, определенные в соответствии с нормативными актами Банка России, в частности [6].

“ Рекомендуется в рамках тестирования таких сценариев предусмотреть возможность привлечения коллегиального исполнительного органа, единоличного исполнительного органа и (или) подотчетных им коллегиальных органов.

• *** Результаты стресс-тестирований должны быть учтены в рамках совершенствования системы управления риском реализации информационных угроз финансовой организации, предусмотренной в рамках ГОСТ Р 57580.3.

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ЗУР.1

Разработка отдельного плана или соответствующих положений в рамках плана ОНиВД* по переводу, в случае необходимости, работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»), в том числе на длительный срок

О

О

О

ЗУР.2

Планирование и управление пропускной способностью средств защиты информации, реализующих защищенный удаленный логический доступ при переводе работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»)

О

О

О

ЗУР.З

Обеспечение и контроль соблюдения требований и выполнения мер, направленных на реализацию процесса «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств», предусмотренных ГОСТ Р 57580.1

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

РВН.1

Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз:

• - при приеме на работу кандидатов на замещение должностей в финансовой организации;

• - в рамках исполнения работниками своих должностных обязанностей;

• - в случае прекращения трудовых отношений или изменения должностных обязанностей работников

О

О

О

РВН.2

Включение в состав мероприятий, предусмотренных мерой РВН.1, при приеме на работу кандидатов на замещение должностей, деятельность которых может оказать влияние на риск реализации информационных угроз:

РВН.2.1

- оценки профессиональных навыков и соответствия кандидата квалификационным требованиям, предъявляемым финансовой организацией

О

О

О

РВН.2.2

- выявление факторов, являющихся побудительными или стимулирующими к использованию кандидатом предоставленных полномочий для реализации информационных угроз

Н

О

О

РВН.2.3

- проверку подлинности предоставленных кандидатом документов, заявленного уровня квалификации, точности и полноты предоставленных данных

О

О

О

РВН.2.4

- рассмотрение рекомендаций предыдущих работодателей, в случае необходимости

Н

О

О

РВН.З

Включение в состав мероприятий, предусмотренных мерой РВН.1, в рамках исполнения работниками своих должностных обязанностей, деятельность которых может оказать влияние на риск реализации информационных угроз:

РВН.3.1

- включение в трудовые контракты (соглашения, договоры) и (или) должностные инструкции и доведение до работников финансовой организации обязанностей по соблюдению соответствующих требований, а также ответственности за их нарушение

О

О

О

РВН.З.2

- проведение проверок на регулярной основе с учетом полномочий работников по доступу к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов

Н

О

О

РВН.3.3

- проведение внеплановых проверок при выявлении фактов причастности работников к реализации инцидентов

Н

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

РВН.3.4

- приравнивание фактов невыполнения работниками финансовой организации требований к обеспечению операционной надежности и защиты информации к фактам неисполнения должностных обязанностей и применение в указанных случаях соответствующих дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации

О

О

О

РВН.3.5

- регистрация фактов применения дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации в отношении работников, нарушивших требования к обеспечению операционной надежности и защите информации, с указанием причин применения таких взысканий

О

О

О

РВН.4

Включение в состав мероприятий, предусмотренных мерой РВН.1, в случае прекращения трудовых отношений или изменения должностных обязанностей работников, деятельность которых может оказать влияние на риск реализации информационных угроз:

РВН.4.1

- применение соответствующих мер в рамках процесса управления учетными записями и правами субъектов логического доступа, требования к которому определены в ГОСТ Р 57580.1

О

О

О

РВН.4.2

- пересмотр потребности работника в доступе к отдельным объектам информатизации

Н

О

О

РВН.4.3

- организация и контроль возврата всех принадлежащих финансовой организации объектов информатизации, переданных соответствующему работнику в рамках исполнения им должностных обязанностей

О

О

О

РВН.4.4

- обеспечение возможности в течение определенного временного периода доступа к защищаемой информации*, использовавшейся работниками финансовой организации до прекращения с ними трудовых отношений или изменения должностных обязанностей

Н

О

т

РВН.5

Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников поставщика услуг, привлекаемого в рамках выполнения бизнес- и технологических процессов

О

О

О

РВН.6

Включение в состав мероприятий, предусмотренных мерой РВН.5:

РВН.6.1

- установление в рамках договорных отношений требований к соблюдению работниками поставщиков услуг установленных финансовой организацией требований к обеспечению операционной надежности и защите информации, а также их обязанностей и ответственности

О

О

О

РВН.6.2

- установление в рамках договорных отношений требований к поставщикам услуг по уведомлению о случаях изменения должностных обязанностей или прекращения трудовых отношений с работниками, обладающими организационными полномочиями или привилегированным доступом к объектам информатизации финансовой организации

О

О

О

РВН.6.3

- осуществление контроля за выполнением поставщиком требований, установленных в рамках договорных отношений

О

О

О

РВН.7

Реализация программ по мотивации работников финансовой организации к соблюдению установленных требований к обеспечению операционной надежности и защиты информации:

РВН.7.1

- разработка и применение способов мотивации работников к участию в процессах управления риском реализации информационных угроз

Н

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

РВН.7.2

- разработка и применение способов мотивации персонала к направлению предложений по мероприятиям, направленным на уменьшение негативного влияния риска реализации информационных угроз

Н

О

О

РВН.7.3

- разработка справочных материалов и инструкций для работников по вопросам противостояния реализации информационных угроз

Н

О

О

РВН.7.4

- разработка и применение способов мотивации работников к инициативному информированию о возможном риске реализации информационных угроз и о выявленных событиях реализации информационных угроз

Н

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО.1

Организация и выполнение деятельности по получению от причастных сторон (за исключением клиентов финансовой организации) и по направлению информации о возможных сценариях реализации информационных угроз*

О

О

О

ОСО.2

Организация и выполнение деятельности по получению от Банка России и по направлению информации о возможных сценариях реализации информационных угроз с использованием технической инфраструктуры Банка России*

О

О

О

ОСО.З

Организация и выполнение деятельности по получению информации о возможных сценариях реализации информационных угроз от доверенных внешних организаций, в том числе в рамках участия в соответствующих сообществах

Н

О

О

ОСО.4

Включение в состав передаваемой информации о возможных сценариях реализации информационных угроз результатов анализа причин и последствий реализации инцидентов**, предусмотренного в рамках процесса 3 «Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации»

Н

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО.5

Организация и выполнение деятельности по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и снижению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг, включая справочные материалы в части:

• - корректного использования ПО (в том числе электронных средств платежа), используемого в целях осуществления финансовых (банковских) операций, включая операции по переводу денежных средств;

• - правильного обращения с информацией конфиденциального характера; - возможных сценариев реализации информационных угроз (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии), направленных на клиентов финансовой организации, и способов их выявления

О

О

О

ОСО.6

Организация и выполнение деятельности по обеспечению максимальной доступности для клиентов финансовой организации справочных материалов, предусмотренных мерой ОСО.5

О

О

О

ОСО.7

Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг

О

О

О

ОСО.8

Организация и выполнение деятельности по доведению до клиентов финансовой организации (с обеспечением максимальной доступности) фактических значений КПУР, приведенных в строках 3—8 таблицы Д.2 приложения Д ГОСТ Р 57580.3—2022

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО.9

Организация и выполнение деятельности по оценке возможности применения информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1—ОСО.З в таблице 15

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО. 10

Организация и выполнение деятельности по использованию информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1—ОСО.З в таблице 15, для цели обеспечения операционной надежности финансовой организации

О

Т

Т

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО. 11

Повышение осведомленности по вопросам противостояния реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, за обеспечением операционной надежности и защиты информации*

О

О

О

ОСО. 12

Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации

Н

О

О

ОСО. 13

Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противостояния реализации информационных угроз учебных мероприятий по доведению:

• - информации, содержащейся в утвержденной политике управления риском реализации информационных угроз финансовой организации;

• - информации о применяемых в финансовой организации мерах, направленных на управление риском реализации информационных угроз, на обеспечение операционной надежности и защиты информации;

• - информации о возможных сценариях реализации компьютерных атак, направленных на работников финансовой организации (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии);

• - инструкций по выполнению мер, направленных на противостояние реализации информационных угроз, в соответствии с внутренними документами финансовой организации;

• - информации о значимости и важности деятельности работников финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

• - инструкций по порядку и способам взаимодействия при реализации инцидентов, связанных с реализацией информационных угроз

Н

О

О

ОСО. 14

Организация обучения или инструктажа** работника, получившего новую роль, с последующим проведением оценочных мероприятий по вопросам противостояния реализации информационных угроз и доведением результатов указанных мероприятий до работника, принимавшего в них участие

О

О

О

Условное обозначение и номер меры

Содержание мер системы обеспечения операционной надежности

Уровень защиты

3

2

1

ОСО.15

Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз

О

О

О

• * В отношении мероприятий по повышению осведомленности совета директоров (наблюдательного совета) и исполнительного органа финансовая организация самостоятельно определяет условия их проведения, например:

• - на регулярной основе;

• - при возникновении определенных условий, свидетельствующих о необходимости проведения таких мероприятий;

• - по запросу со стороны участника или участников целевой группы таких мероприятий.

• * * Согласно разработанным для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) программам обучения и повышения осведомленности в части выявления и противостояния реализации информационных угроз.

Условное обозначение и номер меры

Содержание мер системы организации и управления операционной надежностью

Уровень защиты

3

2

1

ПОНИ

Документарное определение области применения процесса системы обеспечения операционной надежности в отношении идентифицированных элементов критичной архитектуры

О

О

О

ПОН.2

Определение подходов к идентификации и включению элементов критичной архитектуры в область применения процесса обеспечения операционной надежности

О

О

О

ПОН.З

Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных и технических мер обеспечения операционной надежности, выбранных финансовой организацией и реализуемых в рамках процесса обеспечения операционной надежности

О

О

О

ПОН.4

Документарное определение порядка применения организационных и технических мер обеспечения операционной надежности (процедур в рамках процесса обеспечения операционной надежности), реализуемых в рамках процесса системы обеспечения операционной надежности

О

О

О

ПОН.5

Определение ролей, полномочий и ответственности должностных лиц, задействованных при реализации процесса операционной надежности

О

О

О

ПОН.6

Определение порядка принятия решений при реализации процесса обеспечения операционной надежности, интеграция порядка принятия решений (или делегирования прав принятия решений) в структуру корпоративного управления финансовой организации

О

О

О

ПОН.7

Определение состава, подходов и требований к организации ресурсного обеспечения процесса обеспечения операционной надежности, в том числе технологического, технического и кадрового обеспечения*

О

О

О

ПОН.8

Распределение ответственности в рамках реализации процесса обеспечения операционной надежности при привлечении поставщиков услуг (в том числе поставщиков облачных услуг)

О

О

О

Условное обозначение и номер меры

Содержание мер системы организации и управления операционной надежностью

Уровень защиты

3

2

1

РОН.1

Реализация эксплуатации (в том числе использования по назначению) технических мер обеспечения операционной надежности

О

О

О

РОН.2

Реализация применения организационных мер обеспечения операционной надежности

О

О

О

РОН.З

Назначение ответственных лиц за выполнение ролей по обеспечению операционной надежности с учетом необходимости обеспечения снижения риска возникновения конфликта интересов*

О

О

О

РОН.4

Обеспечение доступности технических мер обеспечения операционной надежности:

• - применение отказоустойчивых технических решений;

• - резервирование аппаратных, программных, аппаратно-программных средств и (или) систем, необходимых для функционирования технических мер обеспечения операционной надежности;

• - осуществление контроля безотказного функционирования аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности;

• - принятие регламентированных мер по восстановлению отказавших аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности

Н

Н

т

РОН.5

Обеспечение возможности сопровождения аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности в течение всего срока их использования

Н

О

О

РОН.6

Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности

О

О

О

РОН.7

Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса обеспечения операционной надежности, применения организационных мер обеспечения операционной надежности, использования по назначению аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности

О

О

О

Условное обозначение и номер меры

Содержание мер системы организации и управления операционной надежностью

Уровень защиты

3

2

1

КОНИ

Контроль применения процесса обеспечения операционной надежности в отношении фактического состава идентифицированных элементов критичной архитектуры, входящих в область применения процесса обеспечения операционной надежности

О

О

О

КОН.2

Контроль эксплуатации (в том числе использования по назначению) аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности, включая:

• - контроль назначения ролей, связанных с эксплуатацией аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности;

• - контроль выполнения руководства и (или) порядка по эксплуатации аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности

О

О

О

КОН.З

Периодический контроль (тестирование) полноты реализации технических мер обеспечения операционной надежности

О

т

т

КОН.4

Контроль применения организационных мер обеспечения операционной надежности

О

О

О

КОН.5

Контроль безотказного функционирования аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности, а также обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и систем, а также их тестирование (проверка)

О

т

т

КОН.6

Проведение проверок знаний работников финансовой организации в части применения мер обеспечения операционной надежности

О

О

О

КОН.7

Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса обеспечения операционной надежности

О

О

О

Условное обозначение и номер меры

Меры обеспечения операционной надежности

Уровень защиты

3

2

1

СОН.1

Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях обнаружения:

• - инцидентов, связанных с реализацией информационных угроз (отнесенных финансовой организацией к событиям риска реализации информационных угроз, приведенных в ГОСТ 57580.3);

• - недостатков в рамках контроля системы обеспечения операционной надежности

О

О

О

СОН.2

Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях изменения политики финансовой организации в отношении:

• - области применения процесса обеспечения операционной надежности;

• - основных принципов и приоритетов в реализации процесса системы обеспечения операционной надежности;

• - принятого допустимого уровня риска реализации информационных угроз (риск-аппетита)¹⁰, сигнальных и контрольных значений КПУР (а также целевых показателей операционной надежности), предусмотренных ГОСТ Р 57580.3 и приложением Б с учетом требований нормативных актов Банка России [6]—[8]

О

О

О

СОН.З

Фиксация решений о проведении совершенствования процесса системы обеспечения операционной надежности в виде корректирующих или превентивных действий, например:

• - пересмотр области применения процесса системы обеспечения операционной надежности;

• - пересмотр состава и содержания организационных мер обеспечения операционной надежности, применяемых в рамках процесса системы обеспечения операционной надежности;

• - пересмотр состава технических мер обеспечения операционной надежности, применяемых в рамках процесса системы обеспечения операционной надежности

О

О

О

СОН.4

Организация и выполнение деятельности по совершенствованию¹¹ применяемых организационных и технических мер, в том числе на основе информации, полученной:

• - по результатам анализа причин и последствий реализации инцидентов;

• - в рамках консультаций с экспертами внутри финансовой организации¹²

О

О

О

Технологические операции (участки) бизнес-и технологических процессов

Технологические меры

Идентификация, аутентификация и авторизация клиентов финансовой организации в целях осуществления финансовых (банковских) операций, в том числе переводов денежных средств

Применение протоколов идентификации и аутентификации клиентов финансовой организации*

Формирование (подготовка), передача и прием электронных сообщений

Проверка правильности формирования (подготовки) электронных сообщений (двойной контроль)

Проверка правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль)

Контроль дублирования электронных сообщений

Структурный контроль электронных сообщений

Защита защищаемой информации при ее передаче по каналам связи

Удостоверение права клиентов финансовой организации распоряжаться денежными средствами, ценными бумагами и иным имуществом

Подписание клиентом финансовой организации электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом**

Получение от клиента финансовой организации подтверждения совершенной финансовой (банковской) операции

Осуществление финансовой (банковской) операции, учет результатов ее осуществления

Проверка соответствия (сверка) выходных электронных сообщений с входными электронными сообщениями

Проверка соответствия (сверка) результатов осуществления финансовых (банковских) операций с информацией, содержащейся в электронных сообщениях

Направление клиентам финансовой организации уведомлений об осуществлении финансовых (банковских) операций, в том числе переводов денежных средств, в том случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором

Хранение электронных сообщений и информации об осуществленных финансовых (банковских) операциях, в том числе переводах денежных средств

—

Контрольный показатель уровня риска

Сигнальное значение

Контрольное значение

1 Допустимая доля деградации каждого из бизнес- и технологического процессов

С

С

2 Допустимое время простоя и (или) деградации каждого из бизнес- и технологического процессов (в случае превышения допустимой доли деградации каждого из бизнес- и технологического процессов)*

С

TH**

3 Допустимое суммарное время простоя и (или) деградации каждого из бизнес- и технологического процессов финансовой организации (в случае превышения допустимой доли деградации каждого из бизнес- и технологического процессов) в течение последних 12 календарных месяцев к первому числу календарного месяца*

С

С

4 Показатель соблюдения режима работы (функционирования) каждого из бизнес- и технологического процессов (времени начала, времени окончания, продолжительности и последовательности процедур в рамках каждого из бизнес- и технологического процессов)

С

С

• * Допустимое суммарное время простоя и (или) деградации — предельно допустимый для финансовой организации суммарный временной период в течение 12 календарных месяцев, исчисляемых с первого числа каждого календарного месяца, в течение которого происходят инциденты (в случае превышения допустимой доли деградации каждого из бизнес- и технологического процессов).

При определении времени простоя и (или) деградации бизнес- и технологических процессов в расчет не включаются периоды времени проведения плановых технологических операций, связанных с приостановлением (частичным приостановлением) бизнес- и технологических процессов и проводимых в соответствии с внутренними документами финансовой организации.

• * * В отношении каждого из бизнес- и технологического процессов, обеспечивающего осуществление переводов денежных средств по распоряжениям участников платежной системы, пороговые значения показателя определяют в соответствии с нормативным актом Банка России [10].