ГОСТ Р № 57580.4-2022 от 01.02.2023

ИКА.1.1 Бизнес- и технологических процессов**, реализуемых непосредственно финансовой организацией; 

ИКА.1.2 Бизнес- и технологических процессов, технологических операций (участков), реализуемых поставщиками услуг (переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов, предоставляемых поставщиками услуг);

ИКА.1.3 Подразделений финансовой организации, ответственных за разработку бизнес- и технологических процессов, поддержание их реализации бизнес- и технологических процессов;

ИКА.1.4 Технологических операций (участков) в рамках каждого бизнес- и технологического процесса;

ИКА.1.5 Объектов информатизации (прикладного и инфраструктурного уровней) финансовой организации, задействованных при выполнении каждого бизнес- и технологического процесса, в том числе их конфигураций;

ИКА.1.6 Субъектов доступа, задействованных при выполнении каждого бизнес- и технологического процесса;

ИКА.1.7 Взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнес- и технологических процессов, в том числе взаимосвязей и взаимозависимостей между задействованными при этом объектами информатизации;

ИКА.1.8 Каналов передачи (информационных потоков) защищаемой информации***, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов.

ИКА.2 Организация и выполнение деятельности по классификации технологических операций (участков) бизнес- и технологического процессов, значимых в контексте необходимости применения технологических мер защиты информации в соответствии с Приложением А.

ИКА.3 Организация и выполнение деятельности по классификации объектов информатизации инфраструктурного уровня как минимум по следующим системным уровням:

ИКА.4 Организация и выполнение деятельности по классификации объектов информатизации прикладного уровня (прикладного программного обеспечения автоматизированных систем и приложений), значимых в контексте отсутствия уязвимостей как минимум по следующим типам:

ИКА.5 Организация и выполнение деятельности по классификации субъектов доступа по принадлежности работников к группе повышенного риска, обладающих привилегированным доступом к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.

ИКА.6 Организация и выполнение деятельности по учету сервисов поставщика облачных услуг и применяемых мер защиты информации в зависимости от модели предоставления сервиса:

ИКА.7 Организация и выполнение деятельности по классификации защищаемой информации (определению критериев отнесения информации к защищаемой и перечня ее типов), обрабатываемой, передаваемой и (или) хранимой финансовой организацией в рамках выполнения бизнес- и технологических процессов в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России.

ИКА.8.1 Объектов информатизации;

ИКА.8.2 Субъектов доступа;

ИКА.8.3 Каналов передачи (информационных потоков) защищаемой информации как внутри финансовой организации, так при взаимодействии с причастными сторонами.

ИКА.9 Организация и выполнение деятельности по фиксации результатов идентификации и классификации, предусмотренных мерами ИКА.1 – ИКА.8 настоящей таблицы, с использованием стандартизованных нотаций описания (например, BPMN, TOGAF).

ИКА.10 Организация и выполнение деятельности по единому централизованному учету результатов идентификации и классификации, предусмотренных мерами ИКА.1 – ИКА.8.

ИКА.11 Установление во внутренних документах финансовой организации для каждого бизнес- и технологического процесса, входящего в критичную архитектуру, целевых показателей операционной надежности согласно Приложению Б.

ИКА.12.1 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.1- ИКА.1.3.

ИКА.12.2 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.4 и ИКА.1.7.

ИКА.12.3 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.5 и ИКА.1.6.

ИКА.12.4 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерой ИКА.1.8.

ИКА.13 Организация и выполнение деятельности по описанию актуальной топологии вычислительных сетей финансовой организации*****.

УИ.1 Планирование, информирование вовлеченных подразделений о вносимых изменениях и контроль внесения изменений в критичную архитектуру.

УИ.2 Классификация в целях приоритизации изменений (например, плановые, срочные и критичные изменения) в критичную архитектуру.

УИ.3 Выявление, оценка и утверждение срочных и критичных изменений.

УИ.4 Привлечение службы ИБ, а также, при необходимости, иных подразделений, формирующих «вторую линию защиты», в рамках процесса управления изменениями для:

УИ.5 Реализация механизма согласования (в том числе со стороны службы ИБ, а также подразделения, ответственного за организацию управления операционным риском*) и утверждения внесения изменений в критичную архитектуру, в том числе назначение должностных лиц, ответственных за рассмотрение и утверждение предлагаемых изменений.

УИ.6.1 Контроля соответствия заявленным целям внесения изменений;

УИ.6.2 Контроля требований безопасности вносимых изменений;

УИ.6.3 Реализации отдельных сред разработки, тестирования и постоянной эксплуатации, включая контроль переноса и целостности информации (данных) при переносе между указанными средами;

УИ.6.4 Контроля отсутствия известных (описанных) уязвимостей объектов информатизации.

УИ.7 Реализация механизма последующего контроля внесенных изменений в критичную архитектуру, в том числе в части соблюдения установленных требований к процессу внесения изменений.

УИ.8 Определение субъектов доступа, обладающих полномочиями для внесения изменений в критичную архитектуру в целях предоставления соответствующих прав доступа к объектам информатизации.

УИ.9 Фиксация и протоколирование внесенных изменений в критичную архитектуру.

УИ.10 Реализация механизма возврата к исходным условиям функционирования, в том числе в случае если внесенные изменения негативно повлияли на уровень риска реализации информационных угроз и (или) обеспечение операционной надежности.

УИ.11.1 Внесение изменений в критичную архитектуру с учетом оценки риска реализации информационных угроз (включая остаточный риск) и влияния на операционную надежность финансовой организации до и после внесения изменений;

УИ.11.2 Обновление инвентарных данных о критичных активах (элементах критичной архитектуры) при внесении изменений в критичную архитектуру, в том числе для фиксации фактов внедрения новых, перемещения и (или) перепрофилирования существующих, а также выявления неучтенных объектов информатизации;

УИ.11.3 Обновление данных об используемых сервисах поставщиков облачных услуг и применяемых мерах защиты информации для таких сервисов.

УИ.12 Проведение анализа на предмет необходимости переоценки риска реализации информационных угроз** перед внесением изменений в критичную архитектуру финансовой организации, включая выявление фактов***, свидетельствующих о возможном изменении уровня такого риска.

УИ.13 Определение области применения процесса управления изменениями в части управления конфигурациями, включающей  определение:

УИ.14 Идентификация и поддержание в актуальном состоянии инвентарных данных о составе и конфигурациях объектов информатизации***.

УИ.15 Определение процедур по установлению, применению и контролю стандартов конфигурирования, определяющих заданный уровень и необходимые политики (режимы) защиты информации.

УИ.16.1 Централизованная**** установка, применение и контроль (в том числе с применением средств автоматизации) стандартов конфигурирования;

УИ.16.2 Включение в состав стандартов конфигурирования условий функционирования объекта информатизации*****;

УИ.16.3 Обеспечение соответствия стандартов конфигурирования текущей критичной архитектуре, установление и выполнение правил обновления (актуализации) стандартов конфигурирования;

УИ.16.4 Хранение предыдущих версий стандартов конфигурирования и обеспечение возможности возврата к ним;

УИ.16.5 Раздельное управление стандартами конфигурирования (в том числе их раздельное использование) для сред разработки, тестирования и постоянной эксплуатации;

УИ.16.6 Разграничение доступа и контроль несанкционированного изменения стандартов конфигурирования;

УИ.16.7 Согласование (в том числе со стороны службы ИБ) и утверждение внесения изменений в стандарты конфигурирования.

УИ.17 Привлечение службы ИБ в рамках процесса управления изменениями в части управления конфигурациями, включая согласование стандартов конфигурирования.

УИ.18.1 Контроля и выявления несанкционированного изменения текущих конфигураций объектов информатизации, а также их несоответствия стандартам конфигурирования;

УИ.18.2 Реагирования в случаях выявления несанкционированного изменения текущих конфигураций объектов информатизации.

УИ.19 Применение для обеспечения безопасности конфигурирования объектов информатизации международных и отечественных практик, в том числе для проведения анализа безопасности применяемых (или планируемых к применению) конфигураций объектов информатизации.

УИ.20 Разработка планов управления конфигурациями****** на первоначальных этапах жизненного цикла (разработка или приобретение) объектов информатизации, входящих в критичную архитектуру.

УИ.21 Управление конфигурациями объектов информатизации на этапах жизненного цикла, связанных с установкой (внедрением), обновлением (модификацией) и удалением (уничтожением) объектов информатизации.

УИ.22.1 Реализации бизнес- и технологических процессов;

УИ.22.2 Объектам информатизации прикладного уровня;

УИ.22.3 Объектам информатизации инфраструктурного уровня.

УИ.23.1 Поддержание актуальности данных о доступных обновлениях (исправлениях) для устранения уязвимостей;

УИ.23.2 Выявление необходимости применения соответствующих обновлений (исправлений) для отдельных объектов информатизации и проведение анализа безопасности их применения;

УИ.23.3 Обеспечение корректного применения обновлений (исправлений), включая предварительный и последующий контроль их применения (например, согласно принципу «четырех глаз»);

УИ.23.4 Документарное определение процедур, связанных с применением обновлений (исправлений).

УИ.24.1 Выявление вредоносного кода;

УИ.24.2 Выявление неконтролируемого использования технологии мобильного кода**;

УИ.24.3 Выявление неавторизованного логического доступа к ресурсам доступа, в том числе автоматизированным системам.

УИ.25.1 Рассмотрение возможности применения соответствующих стандартов конфигурирования при применении обновлений (исправлений) объектов информатизации, входящих в критичную архитектуру;

УИ.25.2 Реализации процедур предварительного анализа*** и согласования применения обновлений (исправлений);

УИ.25.3 Реализации процедур запрета применения обновлений (исправлений), которые предварительно не согласованы.

УИ.25.4 Реализации процедур быстрого восстановления выполнения бизнес- и технологических процессов (в том числе возврата к исходным условиям функционирования объектов информатизации) в случае неудачного применения обновлений (исправлений)*****.

УИ.25.5 Применение отдельных сред разработки, тестирования и постоянной эксплуатации, обеспечивающих возможность быстрого тестирования.

УИ.25.6 Анализа и применения передового опыта (в том числе по использованию средств автоматизации) в целях устранения технических и организационных недостатков, а также обеспечения контроля соответствия установленным стандартам конфигурирования и политикам (режимам) защиты информации;

УИ.25.7 Контроль соответствия примененных (установленных) обновлений (исправлений) объектов информатизации наиболее актуальным (новейшим) версиям обновлений (исправлений);

УИ.25.8 Контроль своевременности применения (установки) обновлений (исправлений) объектов информатизации.

УИ.26 Управление уязвимостями на этапах жизненного цикла разработки объектов информатизации прикладного уровня (прикладного ПО), включая применение инструментов анализа (инспекции) кода (code review), посредством статического и динамического тестирования.

УИ.27 Регулярный****** анализ уязвимостей (сканирование на уязвимости) объектов информатизации инфраструктурного уровня, в том числе:

УИ.28 Регулярное******* тестирование на проникновение (симуляция компьютерных атак), в том числе:

УИ.29 Применение риск-ориентированного подхода к выбору объектов информатизации, подвергаемых тестированию на проникновение, в том числе в части периодичности проведения тестирования на проникновение.

УИ.30 Проведение сканирования на уязвимости и (или) тестирование на проникновение при существенных изменениях в критичной архитектуре и (или) внедрении новых объектов информатизации (автоматизированных систем).

УИ.31 Проведение анализа системных журналов для выявления фактов эксплуатации в прошлом уязвимостей, аналогичных вновь выявленным.

УИ.32 Тестирование «red team», то есть симуляция действий нарушителя безопасности в контролируемых условиях, в том числе для симуляции попыток реализации компьютерных атак в отношении объектов информатизации, входящих в критичную архитектуру, в соответствии с заранее определенными сценариями.

УИ.33 Использование в качестве источников информации об уязвимостях, а также регулярное обновление и контроль актуальности используемой информации для проведения сканирования на уязвимости:

УИ.34 Организация тестирования «red team» в отношении критичной архитектуры для оценки возможных уязвимостей, в том числе в процессах обеспечения операционной надежности и защиты информации, согласно следующим принципам:

УИ.35 Ведение реестра выявленных и устраненных уязвимостей********, в том числе фиксация совершенных действий по устранению уязвимостей.

УИ.36 Оценка эффективности********* деятельности по управлению уязвимостями (как минимум с учетом времени, затрачиваемого на устранение уязвимостей с момента их выявления).

УИ.37 Организация мониторинга статуса работ по устранению уязвимостей.

ВРВ.2 Организация мониторинга и выявления событий реализации информационных угроз, предусмотренных мерой ВРВ.1 настоящей таблицы, с учетом технического описания сценариев возможных компьютерных атак*.

ВРВ.4 Создание механизмов инициативного информирования работниками финансовой организации о событиях реализации информационных угроз, в частности реализации компьютерных атак.

ВРВ.5 Организация и выполнение деятельности по получению сведений об актуальных индикаторах компрометации объектов информатизации от:

ВРВ.6 Реализация защиты от вредоносного кода на основе полученных сведений об актуальных индикаторах компрометации объектов информатизации, в том числе с привлечением для выполнения такой деятельности специалистов, обладающих необходимой компетенцией***.

ВРВ.7.1 Целевых показателей реагирования на инциденты;

ВРВ.7.2 Методологии проведения предварительной оценки потенциала влияния (критичности) инцидента, включая его классификацию согласно типовому перечню и классификационным признакам;

ВРВ.7.3 Типового перечня инцидентов и классификационных признаков, в том числе на основе классификатора событий риска реализации информационных угроз согласно Приложениям А, Б, В, Г к ГОСТ Р 57580-2022;

ВРВ.7.4 Ролей, связанных с реагированием на инциденты;

ВРВ.7.5 Правил и процедур (playbooks) реагирования на инциденты;

ВРВ.7.6 Перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках реагирования на инциденты;

ВРВ.7.7 Форматов и способов реализации информационного обмена об инцидентах внутри финансовой организации, а также с причастными сторонами в рамках реагирования на инциденты;

ВРВ.7.8 Определение показателей оценки эффективности реагирования на инциденты, характеризующих степень достижения установленных целевых показателей.

ВРВ.8 Утверждение порядка реагирования на инциденты единоличным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации.

ВРВ.9 Определение в качестве целевых показателей реагирования на инциденты:

ВРВ.10 Включение в состав классификационных признаков инцидентов как минимум:

ВРВ.11.1 Применения соответствующего набора правил и процедур (playbooks) реагирования на инциденты, утверждаемого должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз;

ВРВ.11.2 Информирования причастных сторон (включая клиентов финансовой организации, в случае возникновения такой необходимости), которые подверглись или могут быть подвергнуты влиянию реализации инцидента;

ВРВ.12.1 Роли владельца инцидента, ответственного за координацию деятельности в условиях реализации отдельного инцидента;

ВРВ.12.2 Роли независимого наблюдателя, ответственного за фиксацию (документирование) действий, предпринятых в рамках реагирования на каждом этапе реализации отдельного инцидента;

ВРВ.12.3 Роли ответственного за взаимодействие с общественностью и средствами массовой информации (СМИ), агрегирующего информацию о статусе обработки инцидентов для упорядоченного обновления и направления информационных сообщений для общественности и СМИ.

ВРВ.13 Разработка** состава правил и процедур (playbooks) реагирования на инциденты на основе:

ВРВ.14.1 Процедур приоритизации, эскалации и принятия (или делегирования прав по принятию) решений в рамках реагирования на инциденты, в том числе на основе определенного уровня критичности инцидента;

ВРВ.14.2 Процедур взаимодействия финансовой организации с Банком России, причастными сторонами, в том числе клиентами финансовой организации, в целях ограничения финансовых потерь от осуществления финансовых (банковских) операций, в том числе переводов денежных средств, без согласия клиента;

ВРВ.14.3 Процедур взаимодействия финансовой организации с общественностью и СМИ при реализации инцидентов;

ВРВ.14.4 Процедур по ограничению распространения инцидентов;

ВРВ.14.5 Процедур по снижению СТП инцидентов;

ВРВ.14.6 Процедур сбора и фиксации технических данных (свидетельств) в рамках реагирования на инциденты для анализа причин и последствий реализации инцидентов;

ВРВ.14.7 Процедур формирования отчетности в рамках реагирования на инциденты, в том числе в целях реализации требований нормативных актов Банка России.

ВРВ.15 Организация и выполнение деятельности в рамках реагировании на инциденты согласно установленным правилам и процедурам (playbooks) в зависимости от уровня влияния (критичности) инцидента.

ВРВ.16.1 Оперативное устранение или ограничение воздействия источников и причин реализации инцидентов;

ВРВ.16.2 Изоляция или отключение объектов информатизации (части объектов информатизации), в отношении которых реализовался или может реализоваться инцидент***.

ВРВ.17.1 Сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры, с учетом технического описания сценариев возможных компьютерных атак;

ВРВ.17.2 Применение риск-ориентированной модели для установления лимитов по параметрам финансовых (банковских) операций, в том числе переводов денежных средств, при использовании каналов дистанционного обслуживания;

ВРВ.17.3 Реализация механизмов приостановления осуществления финансовых (банковских) операций, в том числе операций по переводу денежных средств, в соответствии с нормативными актами Банка России. 

ВРВ.18 Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств)**** в рамках реагирования на инциденты, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных данных.

ВРВ.19 Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями.

ВРВ.20 Уничтожение всех вредоносных элементов (артефактов) с объектов информатизации, в отношении которых реализовался инцидент, после сбора и фиксации технических данных (свидетельств).

ВРВ.21.1 Целевых показателей восстановления после реализации инцидентов;

ВРВ.21.2 Ролей, связанных с восстановлением после реализации инцидентов;

ВРВ.21.3 Правил и процедур (playbooks) восстановления после реализации инцидентов;

ВРВ.21.4 Перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках восстановления после реализации инцидентов;

ВРВ.21.5 Форматов и способов реализации информационного обмена о предпринятых действиях и статусе восстановления после инцидентов внутри финансовой организации, а также с причастными сторонами в рамках восстановления после реализации инцидентов;

ВРВ.21.6 Определение критериев оценки завершения восстановления и условий закрытия инцидента;

ВРВ.21.7 Определение показателей оценки эффективности восстановления после реализации инцидентов.

ВРВ.22 Утверждение* порядка восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов единоличным или коллегиальным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации.

ВРВ.23 Определение в качестве целевых показателей восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов:

ВРВ.24 Определение ролей, связанных с восстановлением функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, и привлечение к их выполнению, в том числе:

ВРВ.25 Разработка состава правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов на основе:

ВРВ.26.1 Процедур выявления и устранения причин реализации инцидентов, в том числе путем обновления состава объектов информатизации финансовой организации;

ВРВ.26.2 Процедур восстановления выполнения бизнес- и технологических процессов финансовой организации в заданные временные периоды (согласно ЦВВ);

ВРВ.26.3 Процедур восстановления функционирования объектов информатизации на каждом из уровней информационной инфраструктуры с учетом взаимосвязей и взаимозависимостей между объектами информатизации;

ВРВ.26.4 Процедур восстановления данных** с помощью резервных копий в заданных объемах (согласно ЦТВД);

ВРВ.26.5 Процедур привлечения, в случае необходимости, компетентных специалистов соответствующих организаций – поставщиков услуг;

ВРВ.26.6 Процедур по снижению СТП инцидентов;

ВРВ.26.7 Процедур сбора и фиксации технических данных (свидетельств) в рамках восстановления после реализации инцидентов для анализа причин и последствий реализации инцидентов;

ВРВ.26.8 Процедур формирования отчетности в рамках восстановления после реализации инцидентов;

ВРВ.26.9 Графика (приоритетности и последовательности) при восстановлении функционирования бизнес- и технологических процессов и объектов информатизации.

ВРВ.27 Организация и выполнение деятельности в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным*** правилам и процедурам (playbooks).

ВРВ.28 Регистрация (документирование) выполняемых действий (операций)**** (а также фиксация времени начала и окончания их выполнения) в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным правилам и процедурам (playbooks).

ВРВ.29.1 Обеспечение непрерывности выполнения бизнес- и технологических процессов за счет использования резервных (альтернативных) каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации;

ВРВ.29.2 Обеспечение возможности перехода от эксплуатации основных каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации к резервным (альтернативным) в соответствии с заданными временными периодами (ЦВВ) и заданными объемами восстановления данных (ЦТВД).

ВРВ.30 Определение в качестве критериев для оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации и условий закрытия инцидента, в том числе:

ВРВ.31 Организация и выполнение деятельности по проведению оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации согласно определенным критериям перед принятием решения о закрытии соответствующего инцидента.

ВРВ.32 Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств)****** в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных технических данных (свидетельств).

ВРВ.33 Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями.

ВРВ.34.1 Определение целевых показателей анализа технических данных (свидетельств);

ВРВ.34.2 Сбор и анализ технических данных (свидетельств)* в рамках выявления, реагирования на инциденты и восстановления после их реализации;

ВРВ.34.3 Определение источников и выявление причин реализации инцидентов;

ВРВ.34.4 Описание сценариев реализации инцидентов;

ВРВ.34.6 Привлечение, при необходимости, к такому анализу Банка России (ФинЦЕРТ)**;

ВРВ.34.8 Оценку эффективности*** выявления, реагирования на инциденты и восстановления после их реализации.

ВРВ.35 Организация и выполнение деятельности по проведению компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг, в случае если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников.

ВРВ.36 Определение в качестве целевых показателей анализа технических данных (свидетельств), собранных в рамках выявления, реагирования на инциденты и восстановления после их реализации:

ВРВ.37 Организация и выполнение деятельности по информированию о результатах проведенного анализа причин и последствий реализации инцидентов:

ВРВ.38 Определение в качестве показателей для оценки эффективности выявления, реагирования на инциденты и восстановления после их реализации:

ВРВ.39 Организация и выполнение деятельности по информированию* об инцидентах Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России.

ВРВ.40 Организация взаимодействия в целях координации действий по реагированию на инциденты и восстановлению после их реализации:

ВРВ.41 Организация и выполнение деятельности по информированию** согласно определенным форматам и способам информационного обмена в рамках реагирования на инциденты и восстановления после их реализации:

ВРВ.43 Организация и выполнение деятельности по информированию должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, по каждому факту реализации инцидентов:

ВРВ.44 Организация и выполнение деятельности по информированию причастных сторон (за исключением клиентов финансовой организации):

ВРВ.45 Организация и выполнение деятельности по информированию клиентов финансовой организации в рамках взаимодействия при реализации инцидентов:

ВПУ.1 Обнаружение и предотвращение вторжений (несанкционированных сетевых подключений) посредством объектов информатизации, используемых поставщиками услуг в рамках своей деятельности.

ВПУ.2 Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети финансовой организации*.

ВПУ.3.1 Определение приоритета в отношении поставщиков услуг, реализующих необходимые процедуры по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации, в том числе обеспечивающих «прозрачность» в отношении реализуемых ими процессов производства и сопровождения объектов информатизации, а также имеющих необходимую зрелость собственных процессов обеспечения безопасности цепи поставок, подтвержденную посредством проведения независимой оценки (внешнего аудита)**;

ВПУ.3.2 Анализ деятельности поставщиков услуг (в том числе до заключения соглашений на поставку объектов информатизации и (или) предоставление сторонних информационных сервисов), включая оценку реализуемых поставщиком услуг процедур по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации и минимизации риска их несанкционированной модификации на этапах поставки;

ВПУ.3.3 Оценку квалификации, опыта и репутации поставщиков услуг;

ВПУ.3.4 Использование всевозможных источников информации для анализа и оценки поставщиков объектов информатизации и (или) сторонних информационных сервисов;

ВПУ.3.5 Выявление слабостей или недостатков цепи поставок посредством проведения независимой оценки (внешнего аудита)**;

ВПУ.3.6 Предварительную оценку (испытание, тестирование) объектов информатизации перед их использованием в качестве элементов критичной архитектуры (на этапах подбора или принятия в эксплуатацию, а также при их модернизации).

ВПУ.4.1 Заключение соглашений об уровне оказания услуг (SLA) и неразглашении информации конфиденциального характера (NDA) в отношении поставщиков услуг***;

ВПУ.4.2 Назначение основного и альтернативного поставщиков услуг (в том числе поставщика услуг, связанных с защитой от информационных угроз) на случай, если основной поставщик услуг не сможет оказывать необходимый уровень услуг в кризисной ситуации****.

ВПУ.5 Диверсификация риска нарушения поставок и сопровождения объектов информатизации, в том числе по государственной принадлежности*.

ВПУ.6 Включение в договор (контракт) о разработке объектов информатизации или поставке готовых объектов информатизации финансовым организациям положений по сопровождению (технической поддержке) и (или) техническому обслуживанию поставляемых изделий на планируемый срок их использования**.

ВПУ.7 Пролонгация договора (контракта) относительно сопровождения (технической поддержки) и (или) технического обслуживания поставляемых объектов информатизации, предусмотренного мерой ВПУ.7 настоящей таблицы, в случае принятия решения о расширении ранее планируемого срока использования поставляемых объектов информатизации**.

ВПУ.8 Установление требований к обеспечению операционной надежности и защиты информации на этапах жизненного цикла проектируемых и разрабатываемых по заказу, а также приобретаемых объектов информатизации.

ВПУ.9 Проведение на регулярной основе анализа эксплуатируемых финансовой организацией объектов информатизации с целью выявления продуктов, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено или планируется прекратить.

ВПУ.10 Принятие решений по объектам информатизации, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено, включая:

ВПУ.11 Организация сопровождения (технической поддержки и выпуска обновлений) объектов информатизации, сопровождение которых поставщиками прекращено, самостоятельно или посредством привлечения альтернативных поставщиков, включая разработку, применение и контроль дополнительных мер, направленных на устранение уязвимостей таких объектов информатизации***.

ВПУ.12.1 Авторизация и регистрация операций, осуществляемых в рамках технического обслуживания, и аутентификация субъектов доступа, осуществляющих техническое обслуживание;

ВПУ.12.2 Контроль соблюдения требований к обеспечению защиты информации в процессе технического обслуживания, направленных на обеспечение целостности, конфиденциальности и доступности информации;

ВПУ.12.3 Проведение технического обслуживания в соответствии со спецификациями (техническими требованиями и условиями) поставщиков объектов информатизации и (или) требованиями финансовой организации;

ВПУ.12.4 Тестирование (проверка) работоспособности объектов информатизации после проведения технического обслуживания для выявления риска нарушения операционной надежности.

ВПУ.13.1 Многофакторную аутентификацию субъектов доступа, осуществляющих удаленное техническое обслуживание и диагностику;

ВПУ.13.2 Регистрацию операций, осуществляемых в рамках удаленного технического обслуживания и диагностики объектов информатизации;

ВПУ.13.3 Завершение сессии и прерывание сетевого подключения субъектов доступа после окончания удаленного технического обслуживания;

ВПУ.13.4 Аудит (последующий контроль) и анализ операций, осуществляемых в рамках удаленного технического обслуживания и диагностики;

ВПУ.13.5 Установление в договорах (контрактах) требований к осуществлению удаленного технического обслуживания и диагностики только посредством объектов информатизации, в отношении которых реализован тот же уровень защиты (в том числе защиты информации), что и в отношении обслуживаемых объектов информатизации;

ВПУ.13.6 Использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании;

ВПУ.13.7 Применение средств защиты информации для защиты целостности и конфиденциальности сессий сетевого взаимодействия при удаленном техническом обслуживании и диагностике;

ВПУ.13.8 Контроль и подтверждение завершения сессий и прерывания сетевого подключения субъектов доступа после окончания удаленного технического обслуживания и диагностики.

ВПУ.14 Привлечение к сопровождению и техническому обслуживанию объектов информатизации финансовой организации лиц, обладающих соответствующей квалификацией.

ТОН.1.1 Формирование сценариев реализации информационных угроз, в том числе компьютерных атак;

ТОН.1.2 Тестирование возможностей по мониторингу и выявлению фактов реализации информационных угроз;

ТОН.1.3 Тестирование порядков реагирования на инциденты и восстановления после их реализации;

ТОН.1.4 Тестирование сценариев, предусматривающих сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры с учетом технического описания таких сценариев;

ТОН.1.5 Оценку подготовленности работников финансовой организации противостоять реализации информационных угроз, в том числе компьютерных атак;

ТОН.1.6 Оценку достаточности ресурсного (кадрового и материального) обеспечения для реагирования на инциденты и восстановления после их реализации.

ТОН.2 Определение во внутренних документах финансовой организации методологии (за исключением случаев привлечения поставщиков услуг) и порядка проведения сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз.

ТОН.3 Организация и выполнение деятельности по формированию и регулярному пересмотру сценариев реализации информационных угроз на основе:

ТОН.4 Организация и выполнение деятельности по тестированию готовности финансовой организации противостоять реализации информационных угроз на основе сформированных сценариев, включая:

ТОН.5 Организация и выполнение деятельности по тестированию возможностей мониторинга и выявления на предмет своевременного обнаружения фактов реализации информационных угроз (в том числе компьютерных атак), а также контроль актуальности используемых данных об индикаторах компрометации объектов информатизации.

ТОН.6.1 Тестирования возможности финансовой организации обеспечить эффективное реагирование на инциденты и восстановление после их реализации в соответствии с заданными временными периодами (ЦВВ);

ТОН.6.2 Тестирования возможности финансовой организации совместно с причастными сторонами обеспечить эффективное реагирование на инциденты и восстановление после их реализации в соответствии с заданными временными периодами (ЦВВ), в том числе в отношении переданных на аутсорсинг бизнес- и технологических процессов;

ТОН.6.3 Тестирования возможностей финансовой организации обеспечить эффективное взаимодействие с причастными сторонами при реализации инцидентов;

ТОН.6.4 Тестирование возможности финансовой организации обеспечить своевременное информирование об инцидентах Банка России, федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также причастных сторон.

ТОН.7 Установление точных целей в рамках каждого из проводимых тестирований готовности финансовой организации противостоять реализации информационных угроз и целевых показателей, посредством которых оценивается их достижение.

ТОН.8 Разработка и использование в рамках тестирования готовности финансовой организации противостоять реализации информационных угроз, в том числе сценариев, реализующих:

ТОН.10 Информирование коллегиального исполнительного органа и должностного лица, ответственного за функционирование системы управление риском реализации информационных угроз, о результатах проведения стресс-тестирования, предусмотренного мерой ТОН.9.

ТОН.11 Определение и анализ показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз.

ТОН.12 Использование результатов мониторинга и анализа показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз для последующей доработки (совершенствования) таких программ.

ТОН.13 Разработка сценариев и проведение периодических тестирований готовности финансовой организации противостоять реализации информационных угроз в условиях, приближенных к реальным, с привлечением:

ТОН.14 Участие финансовой организации (при наличии возможности) в тестированиях готовности противостоять реализации информационных угроз, проводимых иными организациями, в том числе в рамках соответствующих мероприятий межсекторального и трансграничного характера.

ЗУР.1 Разработка отдельного плана или соответствующих положений в рамках плана ОНиВД* по переводу, в случае необходимости, работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»), в том числе на длительный срок.

ЗУР.2 Планирование и управление пропускной способностью средств защиты информации, реализующих защищенный удаленный логический доступ при переводе работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»).

РВН.1 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз:

РВН.2.1 Оценки профессиональных навыков и соответствия кандидата квалификационным требованиям, предъявляемым финансовой организацией.

РВН.2.2 Выявление факторов, являющихся побудительными или стимулирующими к использованию кандидатом предоставленных полномочий для реализации информационных угроз.

РВН.2.3 Проверку подлинности предоставленных кандидатом документов, заявленного уровня квалификации, точности и полноты предоставленных данных.

РВН.2.4 Рассмотрение рекомендаций предыдущих работодателей, в случае необходимости.

РВН.3.1 Включение в трудовые контракты (соглашения, договоры) и (или) должностные инструкции и доведение до работников финансовой организации обязанностей по соблюдению соответствующих требований, а также ответственности за их нарушение.

РВН.3.2 Проведение проверок на регулярной основе с учетом полномочий работников по доступу к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.

РВН.3.3 Проведение внеплановых проверок при выявлении фактов причастности работников к реализации инцидентов.

РВН.3.4 Приравнивание фактов невыполнения работниками финансовой организации требований к обеспечению операционной надежности и защиты информации к фактам неисполнения должностных обязанностей и применение в указанных случаях соответствующих дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации.

РВН.3.5 Регистрация фактов применения дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации в отношении работников, нарушивших требования к обеспечению операционной надежности и защите информации, с указанием причин применения таких взысканий.

РВН.4.2 Пересмотр потребности работника в доступе к отдельным объектам информатизации.

РВН.4.3 Организация и контроль возврата всех принадлежащих финансовой организации объектов информатизации, переданных соответствующему работнику в рамках исполнения им должностных обязанностей.

РВН.4.4 Обеспечение возможности в течение определенного временного периода доступа к защищаемой информации , использовавшейся работниками финансовой организации до прекращения с ними трудовых отношений или изменения должностных обязанностей.

РВН.5 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников поставщика услуг, привлекаемого в рамках выполнения бизнес- и технологических процессов.

РВН.6.1 Установление в рамках договорных отношений требований к соблюдению работниками поставщиков услуг установленных финансовой организацией требований к обеспечению операционной надежности и защите информации, а также их обязанностей и ответственности.

РВН.6.2 Установление в рамках договорных отношений требований к поставщикам услуг по уведомлению о случаях изменения должностных обязанностей или прекращения трудовых отношений с работниками, обладающими организационными полномочиями или привилегированным доступом к объектам информатизации финансовой организации.

РВН.6.3 Осуществление контроля за выполнением поставщиком требований, установленных в рамках договорных отношений.

РВН.7.1 Разработка и применение способов мотивации работников к участию в процессах управления риском реализации информационных угроз.

РВН.7.2 Разработка и применение способов мотивации персонала к направлению предложений по мероприятиям, направленным на уменьшение негативного влияния риска реализации информационных угроз.

РВН.7.3 Разработка справочных материалов и инструкций для работников по вопросам противостояния реализации информационных угроз.

РВН.7.4 Разработка и применение способов мотивации работников к инициативному информированию о возможном риске реализации информационных угроз и о выявленных событиях реализации информационных угроз.

ОСО.1 Организация и выполнение деятельности по получению от причастных сторон (за исключением клиентов финансовой организации) и по направлению информации о возможных сценариях реализации информационных угроз.

ОСО.2 Организация и выполнение деятельности по получению от Банка России и по направлению информации о возможных сценариях реализации информационных угроз с использованием технической инфраструктуры Банка России.

ОСО.3 Организация и выполнение деятельности по получению информации о возможных сценариях реализации информационных угроз от доверенных внешних организаций, в том числе в рамках участия в соответствующих сообществах.

ОСО.4 Включение в состав передаваемой информации о возможных сценариях реализации информационных угроз результатов анализа причин и последствий реализации инцидентов , предусмотренного в рамках процесса 3 «Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации».

ОСО.5 Организация и выполнение деятельности по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и снижению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг, включая справочные материалы в части:

ОСО.6 Организация и выполнение деятельности по обеспечению максимальной доступности для клиентов финансовой организации справочных материалов, предусмотренных мерой ОСО.5.

ОСО.7 Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг.

ОСО.9 Организация и выполнение деятельности по оценке возможности применения информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1-ОСО.3.

ОСО.10 Организация и выполнение деятельности по использованию информации об актуальных сценариях реализации информационных угроз, получение которой предусмотрено мерами ОСО.1-ОСО.3, для цели обеспечения операционной надежности финансовой организации.

ОСО.11 Повышение осведомленности по вопросам противостояния реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, за обеспечением операционной надежности и защиты информации.

ОСО.12 Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации.

ОСО.13 Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противостояния реализации информационных угроз учебных мероприятий по доведению:

ОСО.14 Организация обучения или инструктажа" работника, получившего новую роль, с последующим проведением оценочных мероприятий по вопросам противостояния реализации информационных угроз и доведением результатов указанных мероприятий до работника, принимавшего в них участие.

ОСО.15 Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз.