ГОСТ Р 57580.3-2022
Описание ГОСТ Р 57580.3-2022
Объекты:
- Кредитные организации (КО), зарегистрированные на территории Российской Федерации.
- Некредитные финансовые организации (НФО) осуществляющие следующие виды деятельности:
- профессиональных участников рынка ценных бумаг;
- управляющих компаний инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- специализированных депозитариев инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда;
- акционерных инвестиционных фондов;
- клиринговую деятельность;
- деятельность по осуществлению функций центрального контрагента;
- деятельность организатора торговли;
- деятельность центрального депозитария;
- репозитарную деятельность;
- деятельность субъектов страхового дела;
- негосударственных пенсионных фондов;
- микрофинансовых организаций;
- кредитных потребительских кооперативов;
- жилищных накопительных кооперативов;
- сельскохозяйственных кредитных потребительских кооперативов;
- деятельность оператора инвестиционной платформы;
- ломбардов;
- оператора финансовой платформы;
- операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
- операторов обмена цифровых финансовых активов.
Когда необходимо выполнять требования:
Все КО обязаны внедрить ГОСТ Р 57580.3-2022 (вместе с 57580.4-2022) к 31 декабря 2025 года независимо от уровня защиты, это включает идентификацию критичной архитектуры, управление изменениями и меры операционной надежности.
Сроки для НФО:
- Усиленный уровень (центральные контрагенты, депозитарии и т.д.): до 31 декабря 2026 года (293 меры);
- Стандартный уровень (страховщики, УК, НПФ): до 31 декабря 2026 года (275 мер).;
- Минимальный уровень (МФО, ломбарды и др.): до 31 декабря 2027 года (190 мер).
Самое главное:
ГОСТ Р 57580.3-2022 устанавливает базовый состав организационных и технических мер по обеспечению операционной надежности финансовых организаций, фокусируясь на минимизации рисков инцидентов, влияющих на финансовые операции и клиентов.
Используемые термины:
Бизнес-процесс и (или) технологический процесс финансовой организации; бизнес- и технологический процесс – набор взаимосвязанных операций, в том числе технических, в отношении активов финансовой организации или информации и (или) объектов информатизации, используемых при осуществлении финансовой организацией видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг.
Объект информатизации (прикладного и инфраструктурного уровней финансовой организации); объект информационной инфраструктуры – совокупность объектов и ресурсов доступа, средств и систем обработки информации, используемых для обеспечения информатизации бизнес- и технологических процессов финансовой организации, используемых для предоставления финансовых и (или) информационных услуг.
Критичный актив – объект информатизации, субъект доступа, а также защищаемая информация, подготавливаемая, передаваемая, обрабатываемая и (или) хранимая в рамках выполнения бизнес- и технологических процессов, воздействие на которые и (или) нарушение функционирования которых может привести к превышению пороговых значений контрольных показателей уровня риска реализации информационных угроз и целевых показателей операционной надежности.
Информационная угроза; угроза безопасности информации – совокупность условий и факторов, побуждающих клиента финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотреблением доверием, и (или) создающих возможность нарушения безопасности информации, вызывающую или способную вызвать негативные последствия (включая нарушение операционной надежности) для финансовой организации, причастных сторон, в том числе клиентов финансовой организации.
Источник риска реализации информационных угроз – объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать или повышать уровень риска реализации информационных угроз.
Компьютерная атака – вид информационной угрозы, заключающейся в преднамеренных действиях со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, в том числе штатных, направленных на критичные активы.
Уязвимость – недостаток применения технологических мер защиты информации, применяемых объектов информатизации прикладного уровня, недостаток планирования, реализации, контроля и совершенствования процессов управления риском реализации информационных угроз, обеспечения операционной надежности и (или) защиты информации, эксплуатация которого позволяет нарушителю безопасности информации реализовать информационные угрозы в отношении критичных активов.
Риск реализации информационных угроз; информационной безопасности – возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены недостатками процессов обеспечения операционной надежности и защиты информации, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности финансовой организации.
Ключевой индикатор риска реализации информационных угроз; КИР – количественный показатель, используемый для оперативного измерения и контроля уровня риска реализации информационных угроз в определенный момент времени.
Контрольный показатель уровня риска реализации информационных угроз; контрольный показатель риска информационной безопасности; КПУР – количественный или качественный показатель, определяемый во внутренних документах финансовой организации на плановый годовой период в целях контроля за уровнем риска реализации информационных угроз.
Сигнальное значение КПУР – предельное значение, нарушение которого является сигналом о необходимости ежедневного мониторинга значений и оперативной реализации мер, направленных на снижение риска реализации информационных угроз.
Контрольное значение КПУР – предельное значение, нарушение которого является сигналом о необходимости принятия действий в рамках корпоративного управления, в том числе в рамках системы управления риском финансовой организации, таких как информирование совета директоров (наблюдательного совета), изменение политики управления риском реализации информационных угроз.
Инцидент (связанный с реализацией информационных угроз) – одно или серия связанных нежелательных событий, связанных с возможной реализацией информационных угроз, которые указывают на свершившуюся, предпринимаемую или вероятную реализацию информационных угроз.
Событие, связанное с возможной реализацией информационных угроз; событие реализации информационных угроз – идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный инцидент, связанный с реализацией информационных угроз.
Событие риска (реализации информационных угроз); событие риска информационной безопасности – инцидент, связанный с реализацией информационных угроз, который привел к фактической реализации риска реализации информационных угроз, вследствие чего возникли прямые и непрямые потери финансовой организации.
Управление риском реализации информационных угроз – скоординированные действия по руководству и управлению деятельностью финансовой организации и взаимодействию с причастными сторонами в связи с риском реализации информационных угроз.
Система управления риском реализации информационных угроз – Совокупность процедур (процессов, требований и мер), применение которых направлено на обеспечение эффективности процессов управления риском реализации информационных угроз путем планирования, реализации, контроля и совершенствования таких процессов.
Область применения системы управления риском реализации информационных угроз; критичная архитектура – совокупность бизнес- и технологических процессов, критичных активов финансовой организации, включая их взаимосвязи и взаимозависимости.
Аутсорсинг – передача финансовой организацией на основании договора на длительный срок (например, от одного года) сторонней (внешней) организации - поставщику услуг выполнения бизнес- и технологических процессов финансовой организации, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялись бы финансовой организацией самостоятельно.
Поставщик услуг [информационных сервисов и услуг] – обслуживающая организация, специализирующаяся на предоставлении информационных сервисов и услуг, в том числе в рамках которых финансовые организации передают выполнение своих бизнес- и технологических процессов на аутсорсинг.
Уровень защиты – определенная совокупность мер управления риском реализации информационных угроз, входящих в состав системы управления таким риском, а также мер, входящих в состав систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, применяемых совместно в пределах области применения указанных систем, в том числе с целью реализации положений нормативных актов Банка России.
Технологические меры защиты информации – меры, направленные на обеспечение безопасности технологии обработки защищаемой информации.
Клиент - потребитель финансовых и (или) информационных услуг финансовой организации; клиент финансовой организации – юридическое или физическое лицо, являющееся конечным потребителем финансовых и (или) информационных услуг финансовой организации.
Внешний аудит процессов обеспечения операционной надежности и защиты информации; аудит – независимый и документируемый процесс получения свидетельств в рамках оценки уровней зрелости процессов обеспечения операционной надежности и защиты информации и соответствия уровней зрелости соответствующих процессов принятым финансовой организацией значениям КПУР, проводимый внешней, независимой по отношению к проверяемой, проверяющей организацией.
Внутренний нарушитель (безопасности информации) – лицо, в том числе работник финансовой организации, работник поставщиков услуг, реализующее информационные угрозы с использованием легально предоставленных им прав доступа, в том числе с использованием уязвимостей.
Риск внутреннего нарушителя – риск реализации информационных угроз, обусловленный наличием возможности совершения действий в отношении критичных активов со стороны внутреннего нарушителя.
Внешний нарушитель (безопасности информации) – лицо, реализующее информационные угрозы без использования легально предоставленных прав доступа, с использованием уязвимостей.
Операционная надежность (в условиях возможной реализации информационных угроз); киберустойчивость – способность финансовой организации обеспечивать непрерывность функционирования бизнес- и технологических процессов (3.1) с учетом целевых показателей операционной надежности в условиях возможной реализации информационных угроз.
Финансовая экосистема – совокупность пользователей, поставщиков финансовых услуг, поставщиков услуг в сфере информационных технологий, обеспечивающих функционирование финансовой экосистемы, а также техническое и технологическое сопровождение предоставления финансовых услуг в рамках финансовой экосистемы (далее - поставщики услуг в сфере информационных технологий); политик, требований и правил, обеспечивающих доступность и безопасность предоставляемых в рамках финансовой экосистемы финансовых и (или) информационных услуг.
Причастная сторона (финансовой организации) – лицо, группа лиц или организация, которые могут воздействовать на риск реализации информационных угроз, подвергаться воздействию или ощущать себя подверженными воздействию такого риска в рамках взаимодействия с финансовой организацией, в том числе связанного с предоставлением финансовых и (или) информационных услуг.
Служба информационной безопасности; служба ИБ – специализированное подразделение (работники), ответственное (ответственные) за организацию и контроль обеспечения безопасности информации.
Центры компетенции – подразделения финансовой организации, осуществляющие в рамках системы управления риском реализации информационных угроз сбор информации и информирование о выявленном риске, оценку выявленных рисков (в пределах своей компетенции), разработку и внедрение мероприятий, направленных на уменьшение негативного влияния риска, и мониторинг уровня риска в своих процессах.
Уровень зрелости – показатель, характеризующий степень развития в финансовой организации системы управления риском реализации информационных угроз, процессов обеспечения операционной надежности и защиты информации, включая процессы применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, и реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.
Служба управления рисками – подразделение (работники), ответственное (ответственные) за осуществление функций и (или) организацию системы управления рисками финансовой организации.
Подразделение, уполномоченное проводить оценку эффективности системы управления риском реализации информационных угроз; уполномоченное подразделение – подразделение (работники), структурно независимое (независимые) от службы ИБ и службы управления рисками, уполномоченное (уполномоченные) проводить оценку эффективности функционирования системы управления риском реализации информационных угроз, в том числе оценку полноты и качества выполнения мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз (например, служба внутреннего аудита).
Политика, определяющая подходы к управлению риском реализации информационных угроз; политика управления риском реализации информационных угроз; политика информационной безопасности – общее намерение и направление, официально устанавливаемое советом директоров (наблюдательным советом) или коллегиальным исполнительным органом финансовой организации.
Структура ГОСТ Р 57580.3-2022:
Необходимо учитывать, что ГОСТ Р 57580.3-2022 является базовым в рамках комплекса стандартов и исходит из парадигмы, что для обеспечения должного уровня операционной надежности и защиты информации, для возможности противостоять реализации информационных угроз в виде событий риска реализации информационных угроз финансовым организациям следует обеспечивать планирование, реализацию, контроль и совершенствование следующих систем:
- системы управления риском реализации информационных угроз, определенной в рамках настоящего стандарта, формирующего основу семейства стандартов УР «Управление риском реализации информационных угроз и обеспечение операционной надежности»;
- системы организации и управления защитой информации, определенной в рамках семейства стандартов ЗИ;
- системы организации и управления операционной надежностью, определенной в рамках семейства стандартов ОН.
ГОСТ Р 57580.3–2022 состоит из следующих разделов:
Раздел 6 «Общие положения» настоящего стандарта содержит:
- общие положения и рекомендации по реализации финансовой организацией системы управления риском реализации информационных угроз;
- описание подхода к интеграции системы управления риском реализации информационных угроз в систему управления рисками финансовой организации.
Раздел 7 «Состав направлений, процессов и требований, определяемый комплексом стандартов» настоящего стандарта определяет состав направлений, процессов и требований по управлению риском реализации информационных угроз и обеспечению операционной надежности (семейство стандартов УР), обеспечению операционной надежности (семейство стандартов ОН), защите информации финансовых организаций (семейство стандартов ЗИ).
Раздел 8 «Требования к системе управления риском реализации информационных угроз» настоящего стандарта содержит для каждого уровня защиты описание состава мер, направленных на реализацию требований к процессам в рамках планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз.
Общие положения ГОСТ Р 57580.3-2022:
1. Деятельности финансовой организации свойственен риск реализации информационных угроз, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня.
Для управления риском реализации информационных угроз финансовой организации необходимо обеспечить планирование, реализацию, контроль и совершенствование системы управления риском реализации информационных угроз.
Эффективное управление риском реализации информационных угроз должно начинаться с определения структуры и организации системы управления таким риском, а также политики, которая устанавливает приоритеты в вопросах управления риском реализации информационных угроз для достижения целей операционной надежности.
2. Вопросы управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации должны учитываться при принятии решений, связанных с общей стратегией развития бизнеса финансовой организации. Должна также учитываться значимость ресурсов (кадровых и финансовых), необходимых для обеспечения должного уровня зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.
3. Выполнение процессов системы управления риском реализации информационных угроз должно способствовать обеспечению операционной надежности финансовой организации применительно к совокупности бизнес- и технологических процессов, критичных активов - объектов информатизации прикладного и инфраструктурного уровней, субъектов доступа и защищаемой информации.
К объектам информатизации инфраструктурного уровня относятся объекты информатизации следующих системных уровней:
- уровня аппаратного обеспечения;
- уровня сетевого оборудования;
- уровня сетевых приложений и сервисов;
- уровня операционных систем, систем управления базами данных, серверов приложений.
К объектам информатизации прикладного уровня относятся объекты информатизации следующих уровней:
а) уровня автоматизированных систем и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес- и технологических процессов финансовой организации, в том числе:
- система дистанционного банковского обслуживания;
- система обработки транзакций;
- информационные ресурсы сети Интернет;
- автоматизированная банковская система;
- система посттранзакционного обслуживания операций;
- автоматизированные системы, в том числе информационно-аналитические системы, используемые финансовой организацией;
- сервисы, предоставляемые поставщиками облачных услуг;
б) уровня автоматизированных систем и приложений, эксплуатируемых клиентом финансовой организации при пользовании финансовыми (банковскими) и (или) информационными услугами.
4. Выполнение процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ЗИ и ОН комплекса стандартов, должно обеспечивать достижение следующих целей:
- обеспечение операционной надежности финансовой организации;
- обеспечение соответствия фактического уровня риска реализации информационных угроз, контроль которого также осуществляется со стороны подразделений, формирующих «вторую» и «третью линии защиты», допустимому, принятому финансовой организацией в соответствии с принятыми значениями КПУР;
- надлежащая интеграция системы управления риском реализации информационных угроз в систему управления рисками финансовой организации в составе операционного риска;
- оперативное реагирование и адаптация к изменению информационных угроз, присущих как выполнению внутренних процессов финансовой организации, так и ее внешнему взаимодействию.
5. Интеграция системы управления риском реализации информационных угроз в систему управления рисками финансовой организации осуществляется посредством управления риском реализации информационных угроз как одним из видов операционного риска.
Надлежащая интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации достигается:
а) интеграцией процессов системы управления риском реализации информационных угроз в состав процессов управления операционным риском, включая:
- выявление и идентификацию риска реализации информационных угроз, а также его оценку;
- планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;
- сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях;
- мониторинг риска реализации информационных угроз;
- оценку эффективности функционирования системы управления риском реализации информационных угроз;
- организацию внутренней отчетности в рамках управления риском, в том числе в целях информирования совета директоров (наблюдательного совета) и исполнительного органа финансовой организации о фактическом уровне такого риска (как составной части операционного риска);
- оценку капитала, необходимого на покрытие риска реализации информационных угроз (как составной части операционного риска), а также организация внутренней отчетности о его достаточности;
б) следованием принципу «трех линий защиты» в рамках управления риском реализации информационных угроз (как составной частью операционного риска), а также созданием условий для реализации каждой «линией защиты» своих функций, в том числе:
- выделение необходимого ресурсного (кадрового и финансового) обеспечения;
- распределение функций, ролей и ответственности среди вовлеченных подразделений (работников), формирующих «три линии защиты»;
- регулярное обучение и повышение квалификации вовлеченных работников;
- развитие корпоративной этики (культуры), устанавливающей значимость управления рисками, в том числе риском реализации информационных угроз;
- определение механизмов для взаимодействия между «линиями защиты» в рамках выполнения их функций.
- классификации событий риска реализации информационных угроз, по источникам риска реализации информационных угроз, типам событий реализации информационных угроз, видам (направлениям) деятельности (в том числе бизнес- и технологическим процессам) финансовой организации, видам потерь финансовой организации, ее причастных сторон, в том числе клиентов финансовой организации (в том числе согласно требованиям нормативных актов Банка России [6]);
- реализации и ведения на постоянной основе аналитической базы данных о событиях риска реализации информационных угроз, в том числе согласно требованиям нормативных актов Банка России [6] (далее - база событий риска реализации информационных угроз).
- организации оперативного мониторинга значений КИР с целью принятия оперативных решений по управлению риском реализации информационных угроз, а также накопления статистических данных (в том числе согласно требованиям нормативных актов Банка России [6]);
- контроля соблюдения установленных значений КПУР с целью контроля уровня риска реализации информационных угроз, в том числе в части обеспечения соблюдения требований по достаточности капитала, необходимого на покрытие запланированных и незапланированных потерь от риска реализации информационных угроз;
- учета фактических значений КПУР при определении способов покрытия запланированных и незапланированных потерь от риска реализации информационных угроз, в том числе при расчете капитала, необходимого на покрытие таких потерь;
- валидации и верификации со стороны подразделения, формирующих «третью линии защиты», методологии, данных и внутренней отчетности в рамках управления риском реализации информационных угроз.
6. Операционная надежность финансовой организации характеризуется:
- способностью финансовой организации обеспечивать необходимый уровень зрелости процессов обеспечения операционной надежности и защиты информации согласно принятым финансовой организацией значениям КПУР;
- способностью финансовой организации обеспечить покрытие собственных потерь, потерь причастных сторон, в том числе клиентов финансовой организации, в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз.
- способностью финансовой организации обеспечить выполнение обязательств по защите интересов клиентов финансовой организации;
- способностью финансовой организации осуществлять финансовые (банковские) операции, в том числе операции по переводу денежных средств, в рамках срока исполнения обязательств, а также обеспечивать завершенность расчетов по таким операциям согласно установленному режиму работы;
- способностью финансовой организации возобновить предоставление финансовых и (или) информационных услуг в течение установленного времени после нарушения в работе в результате инцидентов;
- способностью финансовой организации обеспечить соблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статьей 57.4 и 76.4-1 Федерального закона от 10 июля 2002 г. № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», части 3 статьи 27 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О национальной платежной системе», а также устанавливаемых статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», статьей 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федеральным законом от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации».
7. ГОСТ Р 57580.3–2022 определяет три уровня защиты:
- уровень 3 - минимальный;
- уровень 2 - стандартный;
- уровень 1 - усиленный.
Уровень защиты для финансовой организации устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовой организацией услуг, реализуемых бизнес- и технологических процессов;
- объема финансовых (банковских) операций, в том числе операций по переводу денежных средств;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- значимости и роли финансовой организации в рамках банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы.
Планирование системы управления риском реализации информационных угроз включает в себя:
- определение политики управления риском реализации информационных угроз;
- выявление и идентификацию риска реализации информационных угроз, а также его оценку;
- организацию ресурсного (кадрового и финансового) обеспечения.
Реализация системы управления риском реализации информационных угроз включает в себя:
- планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз:
- разработку мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;
- защиту от информационных угроз;
- реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации;
- выявление событий риска реализации информационных угроз;
- обеспечение осведомленности об актуальных информационных угрозах.
Контроль системы управления риском реализации информационных угроз включает в себя:
- установление и реализацию программ контроля и аудита;
- мониторинг риска реализации информационных угроз.
Совершенствование системы управления риском реализации информационных угроз включает обеспечение соответствия фактических значений КПУР принятым.
8. Способность финансовой организации распознавать признаки возможного инцидента имеет важное значение для обеспечения операционной надежности.
Раннее обнаружение инцидентов позволяет финансовой организации оперативно принять соответствующие меры реагирования (контрмеры), позволяющие сдержать или парировать фактическую реализацию таких инцидентов. В свою очередь, оперативное принятие мер реагирования (контрмер) в большинстве случаев позволяет свести к минимуму негативные последствия от реализации таких инцидентов.
В целях снижения возможности возникновения системных рисков невыполнения обязательств перед причастными сторонами финансовой организации следует проектировать и реализовывать свои бизнес- и технологические процессы способом, обеспечивающим быстрое и безопасное возобновление предоставления финансовых и (или) информационных услуг, а также корректное и полное восстановление данных о совершенных финансовых (банковских) операциях, в том числе операциях по переводу денежных средств.
9. Осведомленность об актуальных информационных угрозах способствует корректному определению финансовой организацией модели информационных угроз в контексте ее видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг, в том числе их влияния на осуществление таких видов деятельности, а также полноты и качества реализуемых мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.
Достижению высокого уровня осведомленности об актуальных информационных угрозах способствует проведение анализа (исследования) возможных информационных угроз и проведение систематических работ по поиску соответствующей информации. Осведомленность об актуальных информационных угрозах может существенно повлиять на способность финансовой организации выявлять инциденты, быстро и эффективно реагировать в случае их возникновения.
В частности, осведомленность об актуальных информационных угрозах может помочь финансовой организации проанализировать уязвимости критичной архитектуры и способствовать эффективной реализации соответствующих мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.
Одним из важных условий достижения осведомленности финансовой организации об актуальных информационных угрозах является активный информационный обмен об инцидентах между финансовой организацией и участниками такого обмена:
- Банком России;
- ГосСОПКА;
- причастными сторонами, в том числе клиентами финансовой организации;
- иными организациями как внутри финансового сектора, так и за его пределами.
10. Финансовая организация классифицирует все события риска реализации информационных угроз с точки зрения следующих элементов:
- источников такого риска;
- типов событий реализации информационных угроз;
- видов (направлений) деятельности финансовой организации;
- видов потерь от реализации такого риска.
Подробное описание соответствующих классификаций событий риска реализации информационных угроз приведено в приложениях А-Г.
11. Выполнение процессов планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз направлено на обеспечение соответствия фактических значений КПУР принятым финансовой организацией, что достигается в том числе планированием, реализацией, контролем и совершенствованием систем управления, определенных в рамках семейств стандартов ЗИ и ОН комплекса стандартов.
Оценка зрелости процессов планирования, реализации, контроля и совершенствования систем управления, определенных в рамках семейств ЗИ и ОН комплекса стандартов, осуществляется согласно методикам оценки соответствия, определяемым в рамках соответствующего семейства стандартов комплекса стандартов, посредством внешнего аудита, с привлечением аудиторской или консалтинговой организации.
Юридические лица или индивидуальные предприниматели, привлекаемые финансовой организацией для проведения работ по обеспечению и оценке операционной надежности и защиты информации, должны иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации.
12. В рамках осуществления деятельности финансовые организации могут выстраивать взаимодействие с иными организациями, на которых не распространяется область применения настоящего стандарта. Ввиду того, что такое взаимодействие может оказывать значительное влияние на операционную надежность финансовых организаций, крайне важно, чтобы оно базировалось на ответственном отношении к вопросам управления риском реализации информационных угроз и обеспечения операционной надежности каждой из сторон.
Требования к системе управления риском реализации информационных угроз:

Направление 1 «Планирование системы управления риском реализации информационных угроз»:
Процесс «Определение политики управления риском реализации информационных угроз»
Применяемые финансовой организацией меры по определению политики управления риском реализации информационных угроз должны обеспечивать:
- установление структуры и организации системы управления риском реализации информационных угроз, а также распределение функций, ролей и ответственности в рамках управления риском реализации информационных угроз;
- установление политики управления риском реализации информационных угроз;
- участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз.
При реализации процесса «Определение политики управления риском реализации информационных угроз» рекомендуется использовать ГОСТ Р ИСО/МЭК 27001, а также ИСО/МЭК 27014:2020.
Процесс «Выявление и идентификация риска реализации информационных угроз, а также его оценка»
Применяемые финансовой организацией меры по оценке риска реализации информационных угроз должны обеспечивать:
- идентификацию критичной архитектуры 1);
- идентификацию риска реализации информационных угроз;
- выявление и моделирование информационных угроз;
- оценку риска реализации информационных угроз.
При реализации процесса «Выявление и идентификация риска реализации информационных угроз, а также его оценка» рекомендуется использовать ГОСТ Р ИСО 31000, ГОСТ Р 58771, ГОСТ Р ИСО/МЭК 27005, а также Рекомендации в области стандартизации Банка России PC БР ИББС-2.2-2009.
Процесс «Организация ресурсного (кадрового и финансового) обеспечения»
Применяемые финансовой организацией меры по организации ресурсного (кадрового и финансового) обеспечения должны обеспечивать:
- организацию ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз;
- организацию ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ;
- организацию целевого обучения по вопросам выявления и противостояния реализации информационных угроз.
При реализации процесса «Организация ресурсного (кадрового и финансового) обеспечения» рекомендуется использовать Рекомендации Банка России N РС БР ИББС-2.7-2015.
Направление 2 «Реализация системы управления риском реализации информационных угроз»
Процесс «Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз»
Подпроцесс «Разработка мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз»
Применяемые финансовой организацией меры по разработке мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз, должны обеспечивать:
- выбор и применение способа реагирования на риск реализации информационных угроз;
- разработку мероприятий, направленных на снижение СВР инцидентов;
- разработку мероприятий, направленных на ограничение СТП инцидентов.
При реализации процесса «Выбор и применение способа реагирования на риск реализации информационных угроз» рекомендуется использовать ГОСТ Р ИСО 31000, ГОСТ Р ИСО/МЭК 27005.
Процесс «Выявление событий риска реализации информационных угроз»
Применяемые финансовой организацией меры по выявлению событий риска реализации информационных угроз должны обеспечивать:
- сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях;
- выявление и фиксацию инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
- ведение претензионной работы.
При реализации процесса «Защита от информационных угроз» рекомендуется использовать ГОСТ Р 57580.1, а также Рекомендации в области стандартизации Банка России PC БР ИББС-2.5-2014, Стандарт Банка России СТО БР ИББС-1.3-2016.
Процесс «Обеспечение осведомленности об актуальных информационных угрозах»
8.3.3.1 Применяемые финансовой организацией меры по обеспечению осведомленности об актуальных информационных угрозах должны обеспечивать:
- организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз;
- использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации;
- повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз.
Направление 3 «Контроль системы управления риском реализации информационных угроз»
Процесс «Установление и реализация программ контроля и аудита»
Применяемые финансовой организацией меры по установлению и реализации программ контроля и аудита должны обеспечивать:
- проведение самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации;
- проведение сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения);
- оценку эффективности функционирования системы управления риском реализации информационных угроз;
- организацию внутренней отчетности в рамках управления риском реализации информационных угроз.
Процесс «Мониторинг риска реализации информационных угроз»
Финансовая организация должна применять меры по мониторингу риска реализации информационных угроз.
При реализации процесса «Мониторинг риска реализации информационных угроз» рекомендуется использовать ГОСТ Р ИСО 31000, ГОСТ Р ИСО/МЭК 27005.
Направление 4 «Совершенствование системы управления риском реализации информационных угроз»
Процесс «Обеспечение соответствия фактических значений КПУР принятым»
Применяемые финансовой организацией меры по обеспечению соответствия фактических значений КПУР принятым должны обеспечивать:
- проведение анализа необходимости совершенствования системы управления риском реализации информационных угроз;
- принятие решений по совершенствованию системы управления риском реализации информационных угроз.
Некоторые возможные риски несоблюдения ГОСТ Р 57580.3-2022:
Несоблюдение ГОСТ Р 57580.3-2022 создает значительные операционные, финансовые и репутационные риски для финансовых организаций, включая возможные инциденты с утечками данных, простоями и потерями клиентов.
1. Финансовые и операционные риски
Реализация информационных угроз приводит к несанкционированным переводам средств без согласия клиентов, нарушению непрерывности услуг и прямым убыткам для организации, причастных сторон и клиентов; это также увеличивает нагрузку на капитал из-за существенных потерь.
2. Регуляторные и репутационные последствия
Несоответствие влечет невыполнение обязательств по защите интересов клиентов, нарушение законодательства РФ и потенциальные санкции от Банка России (по 757-П, 851-П), включая отзыв лицензии, штрафы и оценку деловой репутации. Системные инциденты могут затронуть финансовую экосистему, вызывая потерю доверия и репутационные потери на рынке.
3. Риски непрерывности и восстановления
Отсутствие мер по выявлению рисков и инцидентов, тестированию и PDCA-циклу приводит к неготовности к атакам, отказам ОИИ и невозможности оперативного восстановления, с риском каскадных сбоев в платежной системе.
