Куда я попал?
ГОСТ Р № 57580.3-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.
Выписка из ГОСТ 57580.3-2022 в части требований к системе защиты информации (раздел 8 "Требования к системе управления риском реализации информационных угроз").
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
79
%
Входящая логистика
42
%
Создание продукта
67
%
Исходящая логистика
59
%
Маркетинг, продажа
38
%
Обслуживание клиента
82
%
Инфраструктура
95
%
HR-менеджмент
75
%
Технологии
74
%
Закупки / Снабжение
83
%
Опыт клиента
Список требований
-
ОПР.2 Реализация механизмов взаимодействия и координации деятельности* вовлеченных подразделений, формирующих «три линии защиты», а также причастных сторон (за исключением клиентов финансовой организации) в целях подготовки и реализации политики управления риском реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ОПР.8.1 Направленность на обеспечение операционной надежности финансовой организации;Обязательно для уровня защиты 1 2 3
-
ОПР.8.2 Интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации;Обязательно для уровня защиты 1 2 3
-
ОПР.8.4 Систематический и проактивный подход в части противодействия возможным информационным угрозам;Обязательно для уровня защиты 1 2 3
-
ОПР.9.1 Обеспечение возможности покрытия потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз*;Обязательно для уровня защиты 1 2 3
-
ОПР.9.3 Защиты интересов клиентов финансовой организации в случае их потерь в результате инцидентов;Обязательно для уровня защиты 1 2 3
-
ОПР.9.4 Соблюдения требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона «О Центральном банке Российской Федерации (Банке России)», части 3 статьи 27 Федерального закона «О национальной платежной системе», а также устанавливаемых статьей 19 Федерального закона «О персональных данных» , статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» и Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».Обязательно для уровня защиты 1 2 3
-
ОПР.11.2 Группа КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации;Обязательно для уровня защиты 1 2 3
-
ОПР.11.3 Группа КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов.Обязательно для уровня защиты 1 2 3
-
ОПР.13.2 Организацию внутренней отчетности в рамках управления риском реализации информационных угроз, включая внутреннюю отчетность об уровне зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;Обязательно для уровня защиты 1 2 3
-
ОПР.13.4 Адекватное и своевременное реагирование на неудовлетворительные результаты валидации и верификации.Обязательно для уровня защиты 1 2 3
-
ОПР.14 Установление политикой управления риском реализации информационных угроз требований к созданию ресурсных (кадровых и финансовых) условий для обеспечения необходимого уровня зрелости процессов управления таким риском, обеспечения операционной надежности и защиты информации.Обязательно для уровня защиты 1 2 3
-
ОПР.17 Установление политикой управления риском реализации информационных угроз области применения системы управления таким риском.Обязательно для уровня защиты 1 2 3
-
ОПР.19.1 Утверждение политики управления риском реализации информационных угроз***;Обязательно для уровня защиты 1 2 3
-
ОПР.19.5 Обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов;Обязательно для уровня защиты 1 2 3
-
ОПР.19.6 Рассмотрение отчета об управлении риском реализации информационных угроз (в составе отчета об управлении операционным риском) за год;Обязательно для уровня защиты 1 2 3
-
ОПР.19.9 Обеспечение реагирования финансовой организации в случае превышения сигнальных и контрольных значений КПУР.Обязательно для уровня защиты 1 2 3
-
ОПР.19.10 Ответственность за соблюдение требований политики управления риском реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ОПР.19.11 Организация деятельности в целях реализации политики управления риском реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ОПР.19.14 Периодический контроль за фактическими значениями КПУР;Обязательно для уровня защиты 1 2 3
-
ОПР.19.15 Контроль за осуществлением мониторинга риска реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ОПР.19.16 Управление ресурсным (кадровым и финансовым) обеспечением для целей в рамках выполнения процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов.Обязательно для уровня защиты 1 2 3
-
ОПР.20.2 Организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угроз в целях противодействия реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.3 Организация и выполнение деятельности по интервьюированию исполнительного органа финансовой организации и работников финансовой организации, в том числе с целью оценки внутренних и внешних условий и факторов, создающих условия для возникновения риска реализации информационных угроз**.Обязательно для уровня защиты 1 2 3
-
ВИО.4 Организация и выполнение деятельности по анализу актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.9.1 Выявления возможных источников информационных угроз;Обязательно для уровня защиты 1 2 3
-
ВИО.9.2 Оценки возможностей нарушителя безопасности информации;Обязательно для уровня защиты 1 2 3
-
ВИО.9.3 Выявления возможных уязвимостей критичной архитектуры;Обязательно для уровня защиты 1 2 3
-
ВИО.9.4 Определения возможных сценариев реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.10.1 Бизнес- и технологических процессов;Обязательно для уровня защиты 1 2 3
-
ВИО.10.2 Объектов информатизации;Обязательно для уровня защиты 1 2 3
-
ВИО.10.3 Субъектов доступа;Необязательное требование
-
ВИО.10.4 Информационных потоков защищаемой информации*, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов.Обязательно для уровня защиты 1 2 3
-
ВИО.11.1 Бизнес- и технологических процессов, переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов;Обязательно для уровня защиты 1 2 3
-
ВИО.11.2 Взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнеси технологических процессов, в том числе взаимосвязей и взаимозависимостей объектов информатизации;Обязательно для уровня защиты 1 2 3
-
ВИО.11.3 Сторонних информационных сервисов поставщиков услуг.Обязательно для уровня защиты 1 2 3
-
ВИО.15 Разработка модели информационных угроз на основе результатов, полученных при реализации мер ВИО.8 – ВИО.14 настоящей таблицы.Обязательно для уровня защиты 1 2 3
-
ВИО.17.1 Оценку СВР событий риска*;Обязательно для уровня защиты 1 2 3
-
ВИО.17.2 Оценку СТП событий риска*;Обязательно для уровня защиты 1 2 3
-
ВИО.18.1 Результатов выявления и моделирования информационных угроз;Обязательно для уровня защиты 1 2 3
-
ВИО.18.3 Оценки зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;Обязательно для уровня защиты 1 2 3
-
ВИО.19.1 Уровня критичности (определяемого финансовой организацией самостоятельно, если иное не установлено нормативными актами Банка России) соответствующего бизнес- и технологического процесса в рамках осуществления финансовой организацией вида деятельности, связанного с предоставлением финансовых и (или) информационных услуг;Обязательно для уровня защиты 1 2 3
-
ВИО.19.3 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН Комплекса стандартов, в части выявления, регистрации, реагирования на инциденты и восстановления после их реализации;Обязательно для уровня защиты 1 2 3
-
ВИО.19.4 Прогнозных оценок запланированных и незапланированных потерь от реализации инцидентов:
- на основе данных внутренней отчетности о фактических потерях за определенный временной период (запланированные потери);
- o на основе сценариев в маловероятных, но возможных стрессовых ситуациях (незапланированные потери);
Обязательно для уровня защиты 1 2 3 -
ВИО.19.5 Оценки способности финансовой организации обеспечить соблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» , части 3 статьи 27 Федерального закона «О национальной платежной системе», а также устанавливаемых статьей 19 Федерального закона «О персональных данных», статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» и Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».Обязательно для уровня защиты 1 2 3
-
ВИО.20 Определение способов проведения оценки уровня риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.22 Организация и выполнение деятельности по переоценке риска реализации информационных угроз на основе:
- результатов пересмотра модели информационных угроз;
- информации о новом идентифицированном риске реализации информационных угроз;
- выявленных событий риска реализации информационных угроз.
Обязательно для уровня защиты 1 2 3 -
ОРО.2.1 Для реализации функций в рамках управления риском реализации информационных угроз подразделений, формирующих «три линии защиты»;Обязательно для уровня защиты 1 2 3
-
ОРО.3 Утверждение и пересмотр на регулярной основе исполнительным органом финансовой организации состава основных ресурсов.Обязательно для уровня защиты 1 2 3
-
ОРО.5.2 Проведение оценки соответствия кандидатов на должности согласно установленным требованиям в отношении их компетенции.Обязательно для уровня защиты 1 2 3
-
ОРО.16 Выделение на местах, в случае наличия у финансовой организации филиалов (региональных представительств), соответствующих подразделений ИБ (уполномоченных лиц) и организация их ресурсного (кадрового и финансового) обеспечения и обеспечение нормативной базой*.Обязательно для уровня защиты 1 2 3
-
РМ.3.1 Применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов;Обязательно для уровня защиты 1 2 3
-
РМ.3.2 Реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;Обязательно для уровня защиты 1 2 3
-
РМ.7 Планирование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.Обязательно для уровня защиты 1 2 3
-
РМ.9 Планирование процессов применения организационных и технических мер, предусмотренных мерой РМ.8 настоящей таблицы, включающее:
- формирование состава (выбор) мер*, обеспечивающих соблюдение сигнальных и контрольных значений КПУР, принятых финансовой организацией;
- исключение из выбранного состава мер, не связанных с используемыми информационными технологиями;
- адаптацию (уточнение), при необходимости, выбранного состава мер с учетом результатов проведения идентификации критичной архитектуры, а также результатов моделирования информационных угроз;
- дополнение адаптированного (уточненного) состава мерами, которые необходимы для обработки информационных угроз, закрепленных в модели угроз безопасности информации финансовой организации, в том числе обеспечения выполнения требований, установленных нормативными правовыми актами.
Обязательно для уровня защиты 1 2 3 -
РМ.11 Определение ограничений по параметрам финансовых (банковских) операций, в том числе переводов денежных средств.Обязательно для уровня защиты 1 2 3
-
ЗИУ.4.1 Процессов, предусмотренных мерами ЗИУ 1, ЗИУ.2;Обязательно для уровня защиты 1 2 3
-
ЗИУ.4.2 Процессов, предусмотренных мерами ЗИУ 3.Обязательно для уровня защиты 1 2 3
-
ЗИУ.11.1 Определение критериев, в том числе основанных на законодательстве о лицензировании отдельных видов деятельности, для оценки способностей, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;Обязательно для уровня защиты 1 2 3
-
ЗИУ.14 Использование в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных показателей, оказывающих влияние на оценку такого риска при аутсорсинге:
- соблюдение требований законодательства Российской Федерации в области обеспечения защиты информации и операционной надежности, в том числе требований ГОСТ Р 57580.1-2017, и обеспечения операционной надежности, в том числе ГОСТ Р 57580.1, а также требований по обеспечению возможности финансовой организации предоставить необходимую и достоверную информацию в рамках выполнения Банком России и исполнительными органами государственной власти их надзорных (контрольных) функций;
- соблюдение принятых финансовой организацией контрольных и сигнальных значений КПУР в отношении переданных на аутсорсинг бизнес- и технологических процессов;
- возможности финансовой организации, необходимые для мониторинга риска реализации информационных угроз при аутсорсинге;
- наличие и функциональность систем управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации у поставщика услуг;
- уровень зрелости процессов обеспечения операционной надежности и защиты информации, реализуемых поставщиком услуг;
- возможности финансовой организации, необходимые для обеспечения операционной надежности и защиты информации после прекращения действия соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств, в том числе наличие плана действий финансовой организации для такого случая (стратегии «выхода»)
Обязательно для уровня защиты 1 2 3 -
ЗИУ.15.3 Мониторинг риска реализации информационных угроз при аутсорсинге.Обязательно для уровня защиты 1 2 3
-
ЗИУ.16.2 Оценки опыта и репутации поставщика услуг;Обязательно для уровня защиты 1 2 3
-
ЗИУ.16.3 Оценки показателей деятельности поставщика услуг на основе показателей, предусмотренных мерой ЗИУ.16;Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.4 Правил и требований к планированию, реализации, контролю и совершенствованию участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) процессов системы управления, определяемых в рамках семейств стандартов ОН и ЗИ комплекса стандартов**.Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.5 Правил и требований к реализации мероприятий, направленных на предотвращение утечек информации***.Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.8 Правил и требований к реагированию на инциденты и восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после их реализации, в том числе к взаимодействию между участниками финансовой экосистемы при реагировании и восстановлении после реализации таких инцидентов.Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.10 Правил и требований к мониторингу риска реализации информационных угроз в рамках финансовой экосистемы.Обязательно для уровня защиты 1 2 3
-
ВСР.3.1 Определение порядка ведения базы событий*;Обязательно для уровня защиты 1 2 3
-
ВСР.3.2 Определение порядка установления величины потерь от реализации события риска реализации информационных угроз, при которой осуществляется регистрация таких событий в базе событий (порог регистрации), в том числе в соответствии с требованиями нормативных актов Банка России;Обязательно для уровня защиты 1 2 3
-
ВСР.3.3 Определение перечня ролей и ответственных по ведению базы событий;Обязательно для уровня защиты 1 2 3
-
ВСР.3.4 Определение порядка контроля за своевременностью отражения потерь от реализации событий риска реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ВСР.3.7 Обеспечение целостности и доступности данных, содержащихся в базе событий, а также сохранности данных о потерях и возмещениях***;Обязательно для уровня защиты 1 2 3
-
ВСР.3.8 Протоколирование и контроль внесения изменений в базу событий.Обязательно для уровня защиты 1 2 3
-
ВСР.4 Организация и выполнение деятельности по регистрации информации о выявленных событиях риска реализации информационных угроз и потерях**** в базе событий такого риска с учетом их классификации и порога регистрации, в том числе в соответствии с требованиями нормативных актов Банка России.Обязательно для уровня защиты 1 2 3
-
ВСР.5.1 Учет потерь, установление сроков выявления и правил отражения в бухгалтерском учете;Обязательно для уровня защиты 1 2 3
-
ВСР.5.2 Установление порядка и метода определения потерь (прямых, косвенных, качественных*****);Обязательно для уровня защиты 1 2 3
-
ВСР.5.3 Определение потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации с учетом классификации согласно приложению Г к настоящему стандарту, в том числе в соответствии с требованиями нормативных правовых актов Банка России;Обязательно для уровня защиты 1 2 3
-
ОСО.7 Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг.Обязательно для уровня защиты 1 2 3
-
ОСО.14 Организация обучения или инструктажа** работника, получившего новую роль, с последующим проведением оценочных мероприятий, по вопросам противодействия реализации информационных угроз и доведение результатов указанных мероприятий до работника, принимавшего в них участие.Обязательно для уровня защиты 1 2 3
-
ОСО.15 Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
УПК.1 Установление и реализация программы проведения самооценки зрелости процессов планирования, реализации контроля и совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия (далее – самооценка ОН и ЗИ).Обязательно для уровня защиты 1 2 3
-
УПК.6 Фиксация результатов проведения самооценок и аудитов ОН и ЗИ в виде отчетов, содержащих мотивированное суждение об уровне зрелости процессов совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия.Обязательно для уровня защиты 1 2 3
-
УПК.7 Доведение результатов самооценок и аудитов ОН и ЗИ до совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, а также должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
УПК.9.1 Данных, содержащихся в базе событий риска реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
УПК.9.2 Результатов самооценок ОН и ЗИ*;Обязательно для уровня защиты 1 2 3
-
УПК.9.3 Результатов аудитов ОН и ЗИ;Обязательно для уровня защиты 1 2 3
-
УПК.9.4 Результатов сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
УПК.11.2 Соблюдения установленных финансовой организацией в политике управления риском реализации информационных значений КПУР;Обязательно для уровня защиты 1 2 3
-
УПК.11.4 Корректности проведенных оценок величины потерь от реализации риска реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
УПК.11.5 Мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
МР.2.2 Определение набора КИР, характеризующих динамику возникновения инцидентов, вызвавших прерывание выполнения бизнес- и технологических процессов, для мониторинга группы КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации;Обязательно для уровня защиты 1 2 3
-
МР.2.4 Определение набора КИР, характеризующих динамику выявленных нарушений** в рамках выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, для мониторинга группы КПУР, характеризующей уровень зрелости таких процессов.Обязательно для уровня защиты 1 2 3
-
МР.4 Определение в рамках установления требований к КИР, предусмотренных мерой МР.1 настоящей таблицы, в части обоснования установления пороговых значений КИР, критериев учета влияния превышения пороговых значений КИР на возможность превышения сигнальных и контрольных значений КПУР.Обязательно для уровня защиты 1 2 3
-
МР.5 Определение порядка информирования должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, в случае выявления факта возможного превышения сигнальных и контрольных значений КПУР, о котором свидетельствуют фактические расчетные значений КИР.Обязательно для уровня защиты 1 2 3
-
ОСЗ.1.1 Выявления фактов или возможности превышения сигнальных и контрольных значений КПУР;Обязательно для уровня защиты 1 2 3
-
ОСЗ.1.7Изменения законодательства Российской Федерации, в том числе нормативных актов Банка России.Обязательно для уровня защиты 1 2 3
-
ОСЗ.7 Обеспечение со стороны должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз (с привлечением службы ИБ), контроля за реализацией тактических улучшений системы управления риском реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ОСЗ.9.2 Пересмотр и адаптация способов выявления событий риска реализации информационных угроз в зависимости от модели информационных угроз.Обязательно для уровня защиты 1 2 3
-
ОСЗ.10.2 Пересмотр политики в отношении аутсорсинга, в том числе пересмотр соглашений об уровне оказания услуг (SLA);Обязательно для уровня защиты 1 2 3
-
ОСЗ.10.3 Пересмотр области применения системы управления риском реализации информационных угроз (критичной архитектуры);Обязательно для уровня защиты 1 2 3
-
ОСЗ.10.4 Пересмотр и доработка методологии оценки риска реализации информационных угроз;Обязательно для уровня защиты 1 2 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.