ГОСТ Р № 57580.3-2022 от 01.02.2023

 РМ.1 Выбор финансовой организацией способа реагирования на риск реализации информационных угроз по результатам оценки риска:

РМ.2 Разработка плана реагирования на риск реализации информационных угроз, обеспечивающего достижение и поддержание допустимого уровня такого риска (риск-аппетита финансовой организации).

РМ.3.1 Применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов;

РМ.3.2 Реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;

РМ.3.3 Планирования, реализации, контроля и совершенствования системы защиты информации, требования к которой определены национальными стандартами семейства ЗИ Комплекса стандартов;

РМ.3.4 Планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности, требования к которой определены национальными стандартами семейства ОН  Комплекса стандартов.

РМ.4 Определение в рамках плана реагирования на риск реализации информационных угроз сигнальных и контрольных значений КПУР*, предусмотренных мерой РМ.3 настоящей таблицы, с учетом допустимого уровня такого риска (рискаппетита).

РМ.5 Утверждение плана реагирования на риск реализации информационных угроз исполнительным органом финансовой организации и (или) должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз.

РМ.6 Планирование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, входящих в критичную архитектуру.

РМ.7 Планирование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.

РМ.8.1 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы защиты информации, определенной в рамках семейства стандартов ЗИ Комплекса стандартов;

РМ.8.2 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов.

РМ.9 Планирование процессов применения организационных и технических мер, предусмотренных мерой РМ.8 настоящей таблицы, включающее:

РМ.10 Определение приоритетов реализации процессов, планируемых в рамках реализации мер РМ.6 – РМ.9 настоящей таблицы, в отношении каждого бизнес- и технологического процесса, входящего в критичную архитектуру.

РМ.11 Определение ограничений по параметрам финансовых (банковских) операций, в том числе переводов денежных средств.

РМ.12 Определение способа и порядка возмещения потерь от реализации инцидентов, в том числе за счет резервов на запланированные и незапланированные потери и (или) посредством переноса риска на участников финансового рынка (страхования).

РМ.13 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, в части: - поддержания непрерывности выполнения бизнес- и технологических процессов; - выявления, реагирования на инциденты и восстановления после их реализации.

ЗИУ.1 Реализация, контроль и совершенствование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, планирование которых предусмотрено мерой РМ.6.

ЗИУ.2 Реализация, контроль и совершенствование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня, планирование которых предусмотрено мерой РМ.7.

ЗИУ.3 Реализация, контроль и совершенствование процессов системы защиты информации, определяемой в рамках семейства стандартов ЗИ Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.1.

ЗИУ.4.1 Процессов, предусмотренных мерами ЗИУ 1, ЗИУ.2;

ЗИУ.4.2 Процессов, предусмотренных мерами ЗИУ 3.

ЗИУ.6 Обеспечение необходимого уровня зрелости процессов, предусмотренных мерами ЗИУ.1 – ЗИУ.3 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4.

ЗИУ.7 Реализация, контроль и совершенствование процессов системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.2.

ЗИУ.8 Определение во внутренних документах требований к внедрению процессов, предусмотренных мерой ЗИУ.8 настоящей таблицы, на этапах жизненного цикла* объектов информатизации финансовой организации, начиная с этапа «создание», способом, обеспечивающим заданный уровень защиты на этапах «ввод в эксплуатацию» и «Эксплуатация (сопровождение)».

ЗИУ.9 Обеспечение необходимого уровня зрелости процессов, предусмотренных мерой ЗИУ.8 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4. 

ЗИУ.10.1 Значимость обеспечения выполнения финансовой организацией своих обязательств перед причастными сторонами, в том числе клиентами финансовой организации, а также возможности предоставления запрашиваемой информации, связанной с функционированием бизнес- и технологических процессов, переданных на аутсорсинг, в рамках проведения контроля выполнения требований к обеспечению операционной надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти в рамках выполнения надзорных (контрольных) мероприятий;

ЗИУ.10.2 Важность привлечения поставщиков услуг, отвечающих требованиям финансовой организации к обеспечению операционной надежности и защиты информации, а также заключения соглашения, определяющего детальные условия и разграничение ответственности;

ЗИУ.10.3 Рассмотрение бизнес- и технологических процессов, передаваемых финансовой организацией на аутсорсинг поставщику услуг, в качестве неотъемлемой части осуществления своих видов деятельности, в том числе подпадающих под регулирование в части обеспечения надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти.

ЗИУ.11.1 Определение критериев, в том числе основанных на законодательстве о лицензировании отдельных видов деятельности, для оценки способностей, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.11.2 Определение требований к привлекаемым в рамках аутсорсинга бизнес- и технологических процессов, а также процессов обеспечения операционной надежности и защиты информации поставщикам услуг, в том числе поставщиков облачных услуг (в части установления требуемого уровня зрелости процессов обеспечения операционной надежности и защиты информации в рамках соглашения об аутсорсинге).

ЗИУ.12 Организация и выполнение деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценке при аутсорсинге*.

ЗИУ.13 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных условий для реализации такого риска, обусловленных:

ЗИУ.14 Использование в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных показателей, оказывающих влияние на оценку такого риска при аутсорсинге:

ЗИУ.15.1 Проведение финансовой организацией оценки способности, ресурсов и возможностей поставщика услуг при аутсорсинге обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.15.2 Определение в рамках соглашений об аутсорсинге между финансовой организацией и поставщиком услуг положений относительно управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

ЗИУ.15.3 Мониторинг риска реализации информационных угроз при аутсорсинге.

ЗИУ.16.1 Оценки способности, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.16.2 Оценки опыта и репутации поставщика услуг;

ЗИУ.16.3 Оценки показателей деятельности поставщика услуг на основе показателей, предусмотренных мерой ЗИУ.16;

ЗИУ.16.4 Оценки способности, ресурсов и возможностей поставщика услуг обеспечивать выполнение обязательств финансовой организации перед причастными сторонами, в том числе клиентами финансовой организации, а также Банком России и исполнительными органами государственной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения операционной надежности и защиты информации.

ЗИУ.17 Определение в рамках финансовой экосистемы правил и требований к участникам финансовой экосистемы (за исключением пользователей финансовой экосистемы) в части управления риском реализации ин-информационных угроз:

ЗИУ.17.1 Правил и требований к установлению и соблюдению поставщиками финансовых услуг состава КПУР, предусмотренных мерой АПР.11 таблицы 5, при предоставлении финансовых и (или) информационных услуг в рамках финансовой экосистемы.

ЗИУ.17.2 Правил и требований к выявлению и идентификации риска реализации информационных угроз, а также его оценки поставщиками финансовых услуг.

ЗИУ.17.3 Правил и требований к применению участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов в рамках финансовой экосистемы, включая идентификацию и аутентификацию пользователей финансовой экосистемы* (в том числе предоставляемые поставщиком облачных услуг).

ЗИУ.17.4 Правил и требований к планированию, реализации, контролю и совершенствованию участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) процессов системы управления, определяемых в рамках семейств стандартов ОН и ЗИ комплекса стандартов**.

ЗИУ.17.5 Правил и требований к реализации мероприятий, направленных на предотвращение утечек информации***.

ЗИУ.17.6 Правил и требований к безопасности раскрытия информации конфиденциального характера, относящейся к пользователям финансовой экосистемы, внутри финансовой экосистемы****.

ЗИУ.17.7 Правил и требований к выявлению событий риска реализации информационных угроз, в том числе к сбору и регистрации информации о событиях риска реализации информационных угроз и потерях в рамках финансовой экосистемы.

ЗИУ.17.8 Правил и требований к реагированию на инциденты и восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после их реализации, в том числе к взаимодействию между участниками финансовой экосистемы при реагировании и восстановлении после реализации таких инцидентов.

ЗИУ.17.9 Правил и требований к обеспечению осведомленности об актуальных информационных угрозах, в том числе пользователей финансовой экосистемы.

ЗИУ.17.10 Правил и требований к мониторингу риска реализации информационных угроз в рамках финансовой экосистемы.

ЗИУ.18 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки в рамках финансовой экосистемы следующих дополнительных видов такого риска: