ГОСТ Р № 57580.4-2022 от 01.02.2023

ВРВ.2 Организация мониторинга и выявления событий реализации информационных угроз, предусмотренных мерой ВРВ.1 настоящей таблицы, с учетом технического описания сценариев возможных компьютерных атак*.

ВРВ.4 Создание механизмов инициативного информирования работниками финансовой организации о событиях реализации информационных угроз, в частности реализации компьютерных атак.

ВРВ.5 Организация и выполнение деятельности по получению сведений об актуальных индикаторах компрометации объектов информатизации от:

ВРВ.6 Реализация защиты от вредоносного кода на основе полученных сведений об актуальных индикаторах компрометации объектов информатизации, в том числе с привлечением для выполнения такой деятельности специалистов, обладающих необходимой компетенцией***.

ВРВ.7.1 Целевых показателей реагирования на инциденты;

ВРВ.7.2 Методологии проведения предварительной оценки потенциала влияния (критичности) инцидента, включая его классификацию согласно типовому перечню и классификационным признакам;

ВРВ.7.3 Типового перечня инцидентов и классификационных признаков, в том числе на основе классификатора событий риска реализации информационных угроз согласно Приложениям А, Б, В, Г к ГОСТ Р 57580-2022;

ВРВ.7.4 Ролей, связанных с реагированием на инциденты;

ВРВ.7.5 Правил и процедур (playbooks) реагирования на инциденты;

ВРВ.7.6 Перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках реагирования на инциденты;

ВРВ.7.7 Форматов и способов реализации информационного обмена об инцидентах внутри финансовой организации, а также с причастными сторонами в рамках реагирования на инциденты;

ВРВ.7.8 Определение показателей оценки эффективности реагирования на инциденты, характеризующих степень достижения установленных целевых показателей.

ВРВ.8 Утверждение порядка реагирования на инциденты единоличным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации.

ВРВ.9 Определение в качестве целевых показателей реагирования на инциденты:

ВРВ.10 Включение в состав классификационных признаков инцидентов как минимум:

ВРВ.11.1 Применения соответствующего набора правил и процедур (playbooks) реагирования на инциденты, утверждаемого должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз;

ВРВ.11.2 Информирования причастных сторон (включая клиентов финансовой организации, в случае возникновения такой необходимости), которые подверглись или могут быть подвергнуты влиянию реализации инцидента;

ВРВ.12.1 Роли владельца инцидента, ответственного за координацию деятельности в условиях реализации отдельного инцидента;

ВРВ.12.2 Роли независимого наблюдателя, ответственного за фиксацию (документирование) действий, предпринятых в рамках реагирования на каждом этапе реализации отдельного инцидента;

ВРВ.12.3 Роли ответственного за взаимодействие с общественностью и средствами массовой информации (СМИ), агрегирующего информацию о статусе обработки инцидентов для упорядоченного обновления и направления информационных сообщений для общественности и СМИ.

ВРВ.13 Разработка** состава правил и процедур (playbooks) реагирования на инциденты на основе:

ВРВ.14.1 Процедур приоритизации, эскалации и принятия (или делегирования прав по принятию) решений в рамках реагирования на инциденты, в том числе на основе определенного уровня критичности инцидента;

ВРВ.14.2 Процедур взаимодействия финансовой организации с Банком России, причастными сторонами, в том числе клиентами финансовой организации, в целях ограничения финансовых потерь от осуществления финансовых (банковских) операций, в том числе переводов денежных средств, без согласия клиента;

ВРВ.14.3 Процедур взаимодействия финансовой организации с общественностью и СМИ при реализации инцидентов;

ВРВ.14.4 Процедур по ограничению распространения инцидентов;

ВРВ.14.5 Процедур по снижению СТП инцидентов;

ВРВ.14.6 Процедур сбора и фиксации технических данных (свидетельств) в рамках реагирования на инциденты для анализа причин и последствий реализации инцидентов;

ВРВ.14.7 Процедур формирования отчетности в рамках реагирования на инциденты, в том числе в целях реализации требований нормативных актов Банка России.

ВРВ.15 Организация и выполнение деятельности в рамках реагировании на инциденты согласно установленным правилам и процедурам (playbooks) в зависимости от уровня влияния (критичности) инцидента.

ВРВ.16.1 Оперативное устранение или ограничение воздействия источников и причин реализации инцидентов;

ВРВ.16.2 Изоляция или отключение объектов информатизации (части объектов информатизации), в отношении которых реализовался или может реализоваться инцидент***.

ВРВ.17.1 Сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры, с учетом технического описания сценариев возможных компьютерных атак;

ВРВ.17.2 Применение риск-ориентированной модели для установления лимитов по параметрам финансовых (банковских) операций, в том числе переводов денежных средств, при использовании каналов дистанционного обслуживания;

ВРВ.17.3 Реализация механизмов приостановления осуществления финансовых (банковских) операций, в том числе операций по переводу денежных средств, в соответствии с нормативными актами Банка России. 

ВРВ.18 Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств)**** в рамках реагирования на инциденты, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных данных.

ВРВ.19 Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями.

ВРВ.20 Уничтожение всех вредоносных элементов (артефактов) с объектов информатизации, в отношении которых реализовался инцидент, после сбора и фиксации технических данных (свидетельств).

ВРВ.21.1 Целевых показателей восстановления после реализации инцидентов;

ВРВ.21.2 Ролей, связанных с восстановлением после реализации инцидентов;

ВРВ.21.3 Правил и процедур (playbooks) восстановления после реализации инцидентов;

ВРВ.21.4 Перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках восстановления после реализации инцидентов;

ВРВ.21.5 Форматов и способов реализации информационного обмена о предпринятых действиях и статусе восстановления после инцидентов внутри финансовой организации, а также с причастными сторонами в рамках восстановления после реализации инцидентов;

ВРВ.21.6 Определение критериев оценки завершения восстановления и условий закрытия инцидента;

ВРВ.21.7 Определение показателей оценки эффективности восстановления после реализации инцидентов.

ВРВ.22 Утверждение* порядка восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов единоличным или коллегиальным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации.

ВРВ.23 Определение в качестве целевых показателей восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов:

ВРВ.24 Определение ролей, связанных с восстановлением функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, и привлечение к их выполнению, в том числе:

ВРВ.25 Разработка состава правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов на основе:

ВРВ.26.1 Процедур выявления и устранения причин реализации инцидентов, в том числе путем обновления состава объектов информатизации финансовой организации;

ВРВ.26.2 Процедур восстановления выполнения бизнес- и технологических процессов финансовой организации в заданные временные периоды (согласно ЦВВ);

ВРВ.26.3 Процедур восстановления функционирования объектов информатизации на каждом из уровней информационной инфраструктуры с учетом взаимосвязей и взаимозависимостей между объектами информатизации;

ВРВ.26.4 Процедур восстановления данных** с помощью резервных копий в заданных объемах (согласно ЦТВД);

ВРВ.26.5 Процедур привлечения, в случае необходимости, компетентных специалистов соответствующих организаций – поставщиков услуг;

ВРВ.26.6 Процедур по снижению СТП инцидентов;

ВРВ.26.7 Процедур сбора и фиксации технических данных (свидетельств) в рамках восстановления после реализации инцидентов для анализа причин и последствий реализации инцидентов;

ВРВ.26.8 Процедур формирования отчетности в рамках восстановления после реализации инцидентов;

ВРВ.26.9 Графика (приоритетности и последовательности) при восстановлении функционирования бизнес- и технологических процессов и объектов информатизации.

ВРВ.27 Организация и выполнение деятельности в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным*** правилам и процедурам (playbooks).

ВРВ.28 Регистрация (документирование) выполняемых действий (операций)**** (а также фиксация времени начала и окончания их выполнения) в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным правилам и процедурам (playbooks).

ВРВ.29.1 Обеспечение непрерывности выполнения бизнес- и технологических процессов за счет использования резервных (альтернативных) каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации;

ВРВ.29.2 Обеспечение возможности перехода от эксплуатации основных каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации к резервным (альтернативным) в соответствии с заданными временными периодами (ЦВВ) и заданными объемами восстановления данных (ЦТВД).

ВРВ.30 Определение в качестве критериев для оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации и условий закрытия инцидента, в том числе:

ВРВ.31 Организация и выполнение деятельности по проведению оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации согласно определенным критериям перед принятием решения о закрытии соответствующего инцидента.

ВРВ.32 Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств)****** в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных технических данных (свидетельств).

ВРВ.33 Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями.

ВРВ.34.1 Определение целевых показателей анализа технических данных (свидетельств);

ВРВ.34.2 Сбор и анализ технических данных (свидетельств)* в рамках выявления, реагирования на инциденты и восстановления после их реализации;

ВРВ.34.3 Определение источников и выявление причин реализации инцидентов;

ВРВ.34.4 Описание сценариев реализации инцидентов;

ВРВ.34.6 Привлечение, при необходимости, к такому анализу Банка России (ФинЦЕРТ)**;

ВРВ.34.8 Оценку эффективности*** выявления, реагирования на инциденты и восстановления после их реализации.

ВРВ.35 Организация и выполнение деятельности по проведению компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг, в случае если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников.

ВРВ.36 Определение в качестве целевых показателей анализа технических данных (свидетельств), собранных в рамках выявления, реагирования на инциденты и восстановления после их реализации:

ВРВ.37 Организация и выполнение деятельности по информированию о результатах проведенного анализа причин и последствий реализации инцидентов:

ВРВ.38 Определение в качестве показателей для оценки эффективности выявления, реагирования на инциденты и восстановления после их реализации:

ВРВ.39 Организация и выполнение деятельности по информированию* об инцидентах Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России.

ВРВ.40 Организация взаимодействия в целях координации действий по реагированию на инциденты и восстановлению после их реализации:

ВРВ.41 Организация и выполнение деятельности по информированию** согласно определенным форматам и способам информационного обмена в рамках реагирования на инциденты и восстановления после их реализации:

ВРВ.43 Организация и выполнение деятельности по информированию должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, по каждому факту реализации инцидентов:

ВРВ.44 Организация и выполнение деятельности по информированию причастных сторон (за исключением клиентов финансовой организации):

ВРВ.45 Организация и выполнение деятельности по информированию клиентов финансовой организации в рамках взаимодействия при реализации инцидентов: