ГОСТ Р № 57580.3-2022 от 01.02.2023

 РМ.1 Выбор финансовой организацией способа реагирования на риск реализации информационных угроз по результатам оценки риска:

РМ.2 Разработка плана реагирования на риск реализации информационных угроз, обеспечивающего достижение и поддержание допустимого уровня такого риска (риск-аппетита финансовой организации).

РМ.3.1 Применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов;

РМ.3.2 Реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;

РМ.3.3 Планирования, реализации, контроля и совершенствования системы защиты информации, требования к которой определены национальными стандартами семейства ЗИ Комплекса стандартов;

РМ.3.4 Планирования, реализации, контроля и совершенствования системы обеспечения операционной надежности, требования к которой определены национальными стандартами семейства ОН  Комплекса стандартов.

РМ.4 Определение в рамках плана реагирования на риск реализации информационных угроз сигнальных и контрольных значений КПУР*, предусмотренных мерой РМ.3 настоящей таблицы, с учетом допустимого уровня такого риска (рискаппетита).

РМ.5 Утверждение плана реагирования на риск реализации информационных угроз исполнительным органом финансовой организации и (или) должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз.

РМ.6 Планирование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, входящих в критичную архитектуру.

РМ.7 Планирование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.

РМ.8.1 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы защиты информации, определенной в рамках семейства стандартов ЗИ Комплекса стандартов;

РМ.8.2 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов.

РМ.9 Планирование процессов применения организационных и технических мер, предусмотренных мерой РМ.8 настоящей таблицы, включающее:

РМ.10 Определение приоритетов реализации процессов, планируемых в рамках реализации мер РМ.6 – РМ.9 настоящей таблицы, в отношении каждого бизнес- и технологического процесса, входящего в критичную архитектуру.

РМ.11 Определение ограничений по параметрам финансовых (банковских) операций, в том числе переводов денежных средств.

РМ.12 Определение способа и порядка возмещения потерь от реализации инцидентов, в том числе за счет резервов на запланированные и незапланированные потери и (или) посредством переноса риска на участников финансового рынка (страхования).

РМ.13 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, в части: - поддержания непрерывности выполнения бизнес- и технологических процессов; - выявления, реагирования на инциденты и восстановления после их реализации.

ЗИУ.1 Реализация, контроль и совершенствование процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, планирование которых предусмотрено мерой РМ.6.

ЗИУ.2 Реализация, контроль и совершенствование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня, планирование которых предусмотрено мерой РМ.7.

ЗИУ.3 Реализация, контроль и совершенствование процессов системы защиты информации, определяемой в рамках семейства стандартов ЗИ Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.1.

ЗИУ.4.1 Процессов, предусмотренных мерами ЗИУ 1, ЗИУ.2;

ЗИУ.4.2 Процессов, предусмотренных мерами ЗИУ 3.

ЗИУ.6 Обеспечение необходимого уровня зрелости процессов, предусмотренных мерами ЗИУ.1 – ЗИУ.3 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4.

ЗИУ.7 Реализация, контроль и совершенствование процессов системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.2.

ЗИУ.8 Определение во внутренних документах требований к внедрению процессов, предусмотренных мерой ЗИУ.8 настоящей таблицы, на этапах жизненного цикла* объектов информатизации финансовой организации, начиная с этапа «создание», способом, обеспечивающим заданный уровень защиты на этапах «ввод в эксплуатацию» и «Эксплуатация (сопровождение)».

ЗИУ.9 Обеспечение необходимого уровня зрелости процессов, предусмотренных мерой ЗИУ.8 настоящей таблицы, согласно принятым финансовой организацией сигнальным и контрольным значениям КПУР, предусмотренным мерой РМ.4. 

ЗИУ.10.1 Значимость обеспечения выполнения финансовой организацией своих обязательств перед причастными сторонами, в том числе клиентами финансовой организации, а также возможности предоставления запрашиваемой информации, связанной с функционированием бизнес- и технологических процессов, переданных на аутсорсинг, в рамках проведения контроля выполнения требований к обеспечению операционной надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти в рамках выполнения надзорных (контрольных) мероприятий;

ЗИУ.10.2 Важность привлечения поставщиков услуг, отвечающих требованиям финансовой организации к обеспечению операционной надежности и защиты информации, а также заключения соглашения, определяющего детальные условия и разграничение ответственности;

ЗИУ.10.3 Рассмотрение бизнес- и технологических процессов, передаваемых финансовой организацией на аутсорсинг поставщику услуг, в качестве неотъемлемой части осуществления своих видов деятельности, в том числе подпадающих под регулирование в части обеспечения надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти.

ЗИУ.11.1 Определение критериев, в том числе основанных на законодательстве о лицензировании отдельных видов деятельности, для оценки способностей, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.11.2 Определение требований к привлекаемым в рамках аутсорсинга бизнес- и технологических процессов, а также процессов обеспечения операционной надежности и защиты информации поставщикам услуг, в том числе поставщиков облачных услуг (в части установления требуемого уровня зрелости процессов обеспечения операционной надежности и защиты информации в рамках соглашения об аутсорсинге).

ЗИУ.12 Организация и выполнение деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценке при аутсорсинге*.

ЗИУ.13 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных условий для реализации такого риска, обусловленных:

ЗИУ.14 Использование в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных показателей, оказывающих влияние на оценку такого риска при аутсорсинге:

ЗИУ.15.1 Проведение финансовой организацией оценки способности, ресурсов и возможностей поставщика услуг при аутсорсинге обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.15.2 Определение в рамках соглашений об аутсорсинге между финансовой организацией и поставщиком услуг положений относительно управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

ЗИУ.15.3 Мониторинг риска реализации информационных угроз при аутсорсинге.

ЗИУ.16.1 Оценки способности, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

ЗИУ.16.2 Оценки опыта и репутации поставщика услуг;

ЗИУ.16.3 Оценки показателей деятельности поставщика услуг на основе показателей, предусмотренных мерой ЗИУ.16;

ЗИУ.16.4 Оценки способности, ресурсов и возможностей поставщика услуг обеспечивать выполнение обязательств финансовой организации перед причастными сторонами, в том числе клиентами финансовой организации, а также Банком России и исполнительными органами государственной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения операционной надежности и защиты информации.

ЗИУ.17 Определение в рамках финансовой экосистемы правил и требований к участникам финансовой экосистемы (за исключением пользователей финансовой экосистемы) в части управления риском реализации ин-информационных угроз:

ЗИУ.17.1 Правил и требований к установлению и соблюдению поставщиками финансовых услуг состава КПУР, предусмотренных мерой АПР.11 таблицы 5, при предоставлении финансовых и (или) информационных услуг в рамках финансовой экосистемы.

ЗИУ.17.2 Правил и требований к выявлению и идентификации риска реализации информационных угроз, а также его оценки поставщиками финансовых услуг.

ЗИУ.17.3 Правил и требований к применению участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов в рамках финансовой экосистемы, включая идентификацию и аутентификацию пользователей финансовой экосистемы* (в том числе предоставляемые поставщиком облачных услуг).

ЗИУ.17.4 Правил и требований к планированию, реализации, контролю и совершенствованию участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) процессов системы управления, определяемых в рамках семейств стандартов ОН и ЗИ комплекса стандартов**.

ЗИУ.17.5 Правил и требований к реализации мероприятий, направленных на предотвращение утечек информации***.

ЗИУ.17.6 Правил и требований к безопасности раскрытия информации конфиденциального характера, относящейся к пользователям финансовой экосистемы, внутри финансовой экосистемы****.

ЗИУ.17.7 Правил и требований к выявлению событий риска реализации информационных угроз, в том числе к сбору и регистрации информации о событиях риска реализации информационных угроз и потерях в рамках финансовой экосистемы.

ЗИУ.17.8 Правил и требований к реагированию на инциденты и восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после их реализации, в том числе к взаимодействию между участниками финансовой экосистемы при реагировании и восстановлении после реализации таких инцидентов.

ЗИУ.17.9 Правил и требований к обеспечению осведомленности об актуальных информационных угрозах, в том числе пользователей финансовой экосистемы.

ЗИУ.17.10 Правил и требований к мониторингу риска реализации информационных угроз в рамках финансовой экосистемы.

ЗИУ.18 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки в рамках финансовой экосистемы следующих дополнительных видов такого риска:

 ВСР.1 Организация и выполнение деятельности по выявлению и отнесению к событиям риска реализации информационных угроз результатов, получаемых в рамках:

ВСР.2 Классификация событий риска реализации информационных угроз с учетом пункта 6.13 настоящего стандарта, в том числе в соответствии с требованиями нормативных актов Банка России.

ВСР.3.1 Определение порядка ведения базы событий*;

ВСР.3.2 Определение порядка установления величины потерь от реализации события риска реализации информационных угроз, при которой осуществляется регистрация таких событий в базе событий (порог регистрации), в том числе в соответствии с требованиями нормативных актов Банка России;

ВСР.3.3 Определение перечня ролей и ответственных по ведению базы событий;

ВСР.3.4 Определение порядка контроля за своевременностью отражения потерь от реализации событий риска реализации информационных угроз;

ВСР.3.5 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее трех лет**.

ВСР.3.6 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее пяти лет**;

ВСР.3.7 Обеспечение целостности и доступности данных, содержащихся в базе событий, а также сохранности данных о потерях и возмещениях***;

ВСР.3.8 Протоколирование и контроль внесения изменений в базу событий.

ВСР.4 Организация и выполнение деятельности по регистрации информации о выявленных событиях риска реализации информационных угроз и потерях**** в базе событий такого риска с учетом их классификации и порога регистрации, в том числе в соответствии с требованиями нормативных актов Банка России.

ВСР.5.1 Учет потерь, установление сроков выявления и правил отражения в бухгалтерском учете;

ВСР.5.2 Установление порядка и метода определения потерь (прямых, косвенных, качественных*****);

ВСР.5.3 Определение потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации с учетом классификации согласно приложению Г к настоящему стандарту, в том числе в соответствии с требованиями нормативных правовых актов Банка России;

ВСР.5.4 Установление порядка определения валовых и чистых (фактических) потерь от реализации событий риска реализации информационных угроз, в том числе в соответствии с требования нормативных актов Банка России.

ВСР.6 Организация и выполнение деятельности по обработке обращений причастных сторон, в том числе клиентов финансовой организации, о выявлении ими событий риска реализации информационных угроз, включая события такого риска, связанные с осуществлением финансовых (банковских) операций, в том числе операций по переводу денежных средств без согласия клиентов.

ВСР.7  Организация и выполнение деятельности по доведению до причастных сторон, в том числе клиентов финансовой организации, результатов проведения финансовой организацией анализа по факту их обращений.

ОСО.1 Организация и выполнение деятельности по получению от причастных сторон (за исключением клиентов финансовой организации) и направлению информации о возможных сценариях реализации информационных угроз*.

ОСО.2 Организация и выполнение деятельности по получению от Банка России и направлению информации о возможных сценариях реализации информационных угроз с использованием технической инфраструктуры Банка России*.

ОСО.3 Организация и выполнение деятельности по получению информации о возможных сценариях реализации информационных угроз от доверенных внешних организаций, в том числе в рамках участия в соответствующих сообществах.

ОСО.4 Включение в состав передаваемой информации о возможных сценариях реализации информационных угроз результатов анализа причин и последствий реализации инцидентов**, предусмотренного составом мер в рамках семейства стандартов ОН Комплекса стандартов.

ОСО.5 Организация и выполнение деятельности по доведению до клиентов финансовой организации информации, способствующей уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг, включая справочные материалы в части:

ОСО.6 Организация и выполнение деятельности по обеспечению максимальной доступности для клиентов финансовой организации справочных материалов, предусмотренных мерой ОСО.5.

ОСО.7  Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг.

ОСО.8 Организация и выполнение деятельности по доведению до клиентов финансовой организации (с обеспечением максимальной доступности) фактических значений КПУР.

ОСО.9 Организация и выполнение деятельности по оценке возможности применения информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1 – ОСО.3.

ОСО.10 Организация и выполнение деятельности по использованию информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1 – ОСО.3, для цели обеспечения операционной надежности финансовой организации.

ОСО.11 Повышение осведомленности по вопросам противодействия реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, обеспечением операционной надежности и защиты информации*.

ОСО.12 Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противодействия реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации.

ОСО.13 Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противодействия реализации информационных угроз, учебных мероприятий по доведению:

ОСО.14 Организация обучения или инструктажа** работника, получившего новую роль, с последующим проведением оценочных мероприятий, по вопросам противодействия реализации информационных угроз и доведение результатов указанных мероприятий до работника, принимавшего в них участие.

ОСО.15 Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз.