ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

ГОСТ Р 57580.3-2022 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

ГОСТ Р 57580.3-2022

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Безопасность финансовых (банковских) операций

УПРАВЛЕНИЕ РИСКОМ РЕАЛИЗАЦИИ ИНФОРМАЦИОННЫХ УГРОЗ И ОБЕСПЕЧЕНИЕ ОПЕРАЦИОННОЙ НАДЕЖНОСТИ

Общие положения

Security of financial (banking) operations. Information threat risk management and ensuring operational resilience. General principles

ОКС 03.060

35.030

Дата введения 2023-02-01

Предисловие

1 РАЗРАБОТАН Центральным банком Российской Федерации (Банком России)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 122 "Стандарты финансовых операций"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 22 декабря 2022 г. N 1548-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Развитие и укрепление банковской системы Российской Федерации, развитие и обеспечение стабильности финансового рынка Российской Федерации и национальной платежной системы являются целями деятельности Банка России [1]. Одним из условий достижения этих целей является должная реализация процессов управления операционным риском, связанным с реализацией информационных угроз (далее - риск реализации информационных угроз), и обеспечение операционной надежности в условиях возможной реализации информационных угроз (далее - операционная надежность) в организациях финансового сектора - кредитных организациях, некредитных финансовых организациях Российской Федерации, а также субъектах национальной платежной системы

(далее при совместном упоминании - финансовые организации), финансовых объединениях и экосистемах.

_______________

Субъекты национальной платежной системы, для которых определена актуальность вопросов управления риском реализации информационных угроз и обеспечения операционной надежности, определены в разделе 1 настоящего стандарта.

Негативные последствия от реализации информационных угроз в отдельных финансовых организациях, в том числе связанные с нарушением операционной надежности, в определенных случаях могут привести к быстрому развитию системного кризиса финансовых объединений и экосистем, а также банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы (далее при совместном упоминании - финансовая система), нанести существенный ущерб интересам собственников и многих клиентов финансовых организаций. Поэтому в условиях цифровой трансформации и ускоренного внедрения финансовыми организациями информационных и инновационных финансовых технологий управление риском реализации информационных угроз и обеспечение операционной надежности становятся для финансовых организаций важным аспектом их деятельности.

Надлежащее управление риском реализации информационных угроз и обеспечение операционной надежности наиболее актуально в рамках деятельности инфраструктурных организаций финансового рынка

, а также платежных систем, признанных значимыми в соответствии с нормативными актами Банка России [3]. Деятельность таких организаций ввиду их значимости и масштабов, сопровождается концентрацией на них множества рисков. Поэтому в отсутствие надлежащего управления рисками, включающего управление риском реализации информационных угроз, инфраструктурные организации финансового рынка и значимые платежные системы могут являться источниками и основным каналом распространения значимых в рамках финансовой системы рисков. В этой связи уровень обеспечения операционной надежности таких организаций может стать одним из решающих факторов для устойчивого функционирования финансовой системы [4].

_______________

В рамках настоящего стандарта под инфраструктурными организациями финансового рынка понимаются организации, определенные в рамках нормативных актов Банка России [2] (финансовые организации, осуществляющие деятельность центрального контрагента, центрального депозитария, расчетного депозитария, репозитария).

Управление риском реализации информационных угроз для цели обеспечения операционной надежности в финансовых организациях является частью процесса управления операционным риском. При этом важно учитывать, что специфичные факторы, обусловленные возможностью реализации информационных угроз, в частности компьютерных атак, ставят новые задачи перед традиционными подходами к управлению операционным риском в финансовых организациях.

Следование принципу обеспечения "трех линий защиты", предполагающему выполнение действий в рамках непосредственного управления риском реализации информационных угроз "первой линией защиты", определение методологии, а также ее валидацию "второй линией защиты" и независимую оценку "третьей линией защиты", способствует интеграции системы управления таким риском в систему управления риском финансовой организации, в частности, систему управления операционным риском финансовой организации при ее наличии.

Одной из особенностей риска реализации информационных угроз является возможность применения нарушителем безопасности информации новых, ранее неизвестных сценариев реализации информационных угроз, в первую очередь, компьютерных атак путем скрытных, целенаправленных умышленных действий, которые в отличие от большинства других источников операционного риска вызывают трудности при их выявлении, устранении негативных последствий и установлении конечных масштабов негативного воздействия.

Разнообразный набор сценариев реализации компьютерных атак, создающих риск реализации информационных угроз, также осложняет управление таким риском. В результате наличия взаимосвязей и (или) взаимозависимостей между финансовыми организациями в рамках совместного выполнения отдельных бизнес- и технологических процессов, связанных с предоставлением финансовых и (или) информационных услуг, реализация компьютерных атак путем эксплуатации уязвимостей отдельных участников таких процессов может оказать негативное влияние на функционирование финансового объединения, финансовой экосистемы или финансовой системы в целом. При этом инфраструктурные организации финансового рынка могут послужить каналом для дальнейшего широкого распространения воздействия от реализации информационных угроз, в том числе компьютерных атак, например, вследствие распространения вредоносного кода среди организаций, с которыми они осуществляют взаимодействие.

Риск реализации информационных угроз, присущий взаимодействию финансовой организации с причастными сторонами, не обязательно связан со степенью их значимости. Любая финансовая организация может являться источником такого же риска реализации информационных угроз, как системно значимые финансовые организации, в случае если финансовая организация осуществляет активное взаимодействие с широким кругом участников финансовой системы, в том числе в рамках финансового объединения или экосистемы.

Среди возможных и наиболее опасных следует выделять сценарии реализации информационных угроз в результате действий внутреннего нарушителя безопасности информации. Реализация информационных угроз при таких сценариях может быть обусловлена как халатным отношением работников финансовой организации к соблюдению установленных требований к защите информации и обеспечению операционной надежности, так и совершением умышленных действий, в том числе по предварительному сговору с внешними участниками, приводящих к нарушению таких требований.

Компьютерные атаки могут обладать характеристиками скрытного и быстрого распространения, обусловленного наличием взаимосвязей и (или) взаимозависимостей в рамках информационного взаимодействия между объектами информатизации, а также быть связаны с эксплуатацией ранее неизвестных уязвимостей объектов информатизации и протоколов взаимодействия, а их реализация, в свою очередь, может приводить к нарушению функционирования объектов информатизации и (или) проникновению во внутренние вычислительные сети финансовых организаций, в том числе инфраструктурных организаций финансового рынка. Компьютерные атаки, связанные с эксплуатацией таких уязвимостей, нередко оказываются успешными несмотря на принятые меры защиты информации. Уменьшению негативного влияния в таком случае способствуют соответствующие меры, направленные на оперативное выявление, реагирование и восстановление функционирования бизнес- и технологических процессов и объектов информатизации после таких атак [4], [5].

Основными целями настоящего стандарта являются:

- определение перечня процессов системы управления риском реализации информационных угроз;

- определение требований к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также систем управления, определенных в рамках семейства стандартов "Обеспечение операционной надежности" (далее - семейство стандартов ОН) и семейства стандартов "Защита информации финансовых организаций" (семейство стандартов ЗИ) комплекса национальных стандартов "Безопасность финансовых (банковских) операций"

) (далее - комплекс стандартов).

_______________

Разрабатывается Техническим комитетом по стандартизации ТК 122 "Стандарты финансовых операций".

- обеспечение возможности эффективного и стандартизированного контроля процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.

1 Область применения

Настоящий стандарт определяет требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.

Настоящий стандарт служит для целей содействия соблюдению требований и рассматривается в качестве дополнения к нормативным актам Банка России, устанавливающим требования к системе управления операционным риском [6].

Положения настоящего стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями, указанными в части 1 статьи 76.1 Федерального закона [1].

Для отдельных субъектов национальной платежной системы - операторов услуг платежной инфраструктуры и операторов услуг информационного обмена, в целях снижения вероятности возникновения неблагоприятных последствий для бесперебойности функционирования платежной системы, а также надлежащего оказания услуг банкам и их клиентам рекомендуется применять меры в рамках следующих процессов системы управления риском реализации информационных угроз:

- выявление и идентификация риска реализации информационных угроз, а также его оценка;

- планирование, реализация, контроль и совершенствование комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности (далее - мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз);

- выявление событий риска реализации информационных угроз в части выявления и фиксации инцидентов, в том числе обнаружения компьютерных атак и выявления фактов (индикаторов) компрометации объектов информатизации;

- обеспечение осведомленности об актуальных информационных угрозах;

- установление и реализация программ контроля и аудита в части проведения сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз.

В соответствии с положениями нормативных актов Банка России положения настоящего стандарта могут применяться иными организациями, реализующими инновационные бизнес- и технологические процессы, связанные с предоставлением финансовых, банковских услуг, в том числе услуг по осуществлению переводов денежных средств (далее при совместном упоминании - финансовые услуги) и (или) информационных услуг.

Состав мер по управлению риском реализации информационных угроз, определяемый настоящим стандартом, применим в рамках осуществления видов деятельности финансовой организации

, связанных с предоставления финансовых и (или) информационных услуг, в отношении элементов критичной архитектуры, идентифицируемой в рамках процесса, предусмотренного в рамках семейств стандартов ОН.

_______________

Для кредитных организаций вместо видов деятельности следует рассматривать направления деятельности, определенные в соответствии с нормативными актами Банка России [6].

Область применения настоящего стандарта, определяющая обязанность финансовых организаций применять меры управления риском реализации информационных угроз, реализующие один из уровней защиты в рамках осуществления видов деятельности финансовой организации, связанных с осуществлением финансовых и (или) информационных услуг, устанавливается в нормативных актах Банка России путем включения нормативной ссылки на настоящий стандарт, приводимой на основании статьи 27 Федерального закона [7].

Настоящий стандарт применяется путем включения нормативных ссылок на него в нормативных актах Банка России и (или) прямого использования устанавливаемых в нем требований во внутренних документах финансовых организаций, а также в договорах.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р 51897/Руководство ИСО 73:2009 Менеджмент риска. Термины и определения

ГОСТ Р 53114 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер

ГОСТ Р 57580.2 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р 57580.4-2022 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности

ГОСТ Р ИСО/МЭК 17021-1 Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27002 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК 27006 Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27036-2 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 2. Требования

ГОСТ Р ИСО/МЭК 27036-4 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 4. Рекомендации по обеспечению безопасности облачных услуг

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 бизнес-процесс и (или) технологический процесс финансовой организации; бизнес- и технологический процесс: Набор взаимосвязанных операций, в том числе технических, в отношении активов финансовой организации или информации и (или) объектов информатизации, используемых при осуществлении финансовой организацией видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг.

Примечание - Адаптировано из ГОСТ Р 57580.1.

3.2 объект информатизации (прикладного и инфраструктурного уровней финансовой организации); объект информационной инфраструктуры: Совокупность объектов и ресурсов доступа, средств и систем обработки информации, используемых для обеспечения информатизации бизнес- и технологических процессов финансовой организации, используемых для предоставления финансовых и (или) информационных услуг.

Примечание - Адаптировано из ГОСТ Р 57580.1.

3.3

критичный актив:

Объект информатизации, субъект доступа, а также защищаемая информация

, подготавливаемая, передаваемая, обрабатываемая и (или) хранимая в рамках выполнения бизнес- и технологических процессов, воздействие на которые и (или) нарушение функционирования которых может привести к превышению пороговых значений контрольных показателей уровня риска реализации информационных угроз

и целевых показателей операционной надежности.

_______________

К защищаемой информации относится информация, перечень которой определен в [8]-[10].

В том числе превышение целевых показателей операционной надежности, устанавливаемых в соответствии с требованиями нормативных актов Банка России.

3.4 информационная угроза; угроза безопасности информации: Совокупность условий и факторов, побуждающих клиента финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотреблением доверием, и (или) создающих возможность нарушения безопасности информации, вызывающую или способную вызвать негативные последствия (включая нарушение операционной надежности) для финансовой организации, причастных сторон, в том числе клиентов финансовой организации.

Примечания

1 Адаптировано из ГОСТ Р 53114.

2 К негативным последствиям реализации информационных угроз относятся:

возникновение потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации, а также иных третьих лиц;

нарушение операционной надежности финансовой организации;

невыполнение обязательств по обеспечению защиты интересов клиентов финансовой организации;

несоблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [11], а также устанавливаемых статьей 19 Федерального закона [12], статьей 16 Федерального закона [13] и Федеральным законом [14].

3 Киберугрозы являются одним из видов информационных угроз.

3.5 источник риска реализации информационных угроз: Объект или деятельность, которые самостоятельно или в комбинации с другими обладают возможностью вызывать или повышать уровень риска реализации информационных угроз.

Примечание - Адаптировано из ГОСТ Р ИСО 31000.

3.6 компьютерная атака: Вид информационной угрозы, заключающейся в преднамеренных действиях со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, в том числе штатных, направленных на критичные активы.

3.7 уязвимость: Недостаток применения технологических мер защиты информации, применяемых объектов информатизации прикладного уровня, недостаток планирования, реализации, контроля и совершенствования процессов управления риском реализации информационных угроз, обеспечения операционной надежности и (или) защиты информации, эксплуатация которого позволяет нарушителю безопасности информации реализовать информационные угрозы в отношении критичных активов.

3.8 риск реализации информационных угроз; информационной безопасности: Возможность реализации информационных угроз (в совокупности с последствиями от их реализации), которые обусловлены недостатками процессов обеспечения операционной надежности и защиты информации, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности финансовой организации.

Примечание - Риск реализации информационных угроз включает в себя:

киберриск - риск преднамеренных действий со стороны работников финансовой организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информатизации финансовой организации в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа;

другие виды риска реализации информационных угроз, связанные с обработкой (хранением, уничтожением) информации без использования объектов информатизации, а также связанные со случаями побуждения клиентов финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотребления доверием (методов социальной инженерии), которые привели и (или) могут привести к случаям мошенничества и (или) кражи с банковского счета в отношении клиентов финансовой организации.

3.9 ключевой индикатор риска реализации информационных угроз; КИР: Количественный показатель, используемый для оперативного измерения и контроля уровня риска реализации информационных угроз в определенный момент времени.

3.10 контрольный показатель уровня риска реализации информационных угроз; контрольный показатель риска информационной безопасности; КПУР: Количественный или качественный показатель, определяемый во внутренних документах финансовой организации на плановый годовой период в целях контроля за уровнем риска реализации информационных угроз.

3.11 сигнальное значение КПУР: Предельное значение, нарушение которого является сигналом о необходимости ежедневного мониторинга значений и оперативной реализации мер, направленных на снижение риска реализации информационных угроз.

3.12 контрольное значение КПУР: Предельное значение, нарушение которого является сигналом о необходимости принятия действий в рамках корпоративного управления, в том числе в рамках системы управления риском финансовой организации, таких как информирование совета директоров (наблюдательного совета), изменение политики управления риском реализации информационных угроз.

3.13 инцидент (связанный с реализацией информационных угроз): Одно или серия связанных нежелательных событий, связанных с возможной реализацией информационных угроз, которые указывают на свершившуюся, предпринимаемую или вероятную реализацию информационных угроз.

Примечания

1 К инцидентам, связанным с реализацией информационных угроз, относятся:

киберинциденты - инциденты, связанные с реализацией информационных угроз, в результате компьютерных атак;

другие инциденты, связанные с реализацией информационных угроз при обработке (хранении, уничтожении) информации без использования объектов информатизации, а также связанные со случаями побуждения клиентов финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотребления доверием (методов социальной инженерии), которые привели и (или) могут привести к фактам мошенничества и (или) кражи с банковского счета в отношении клиентов финансовой организации.

2 Адаптировано из ГОСТ Р 57580.1.

3.14 событие, связанное с возможной реализацией информационных угроз; событие реализации информационных угроз: Идентифицированное возникновение и (или) изменение состояния объектов информатизации финансовой организации, действия работников финансовой организации и (или) иных лиц, указывающие на возможный инцидент, связанный с реализацией информационных угроз.

Примечание - К событиям, связанным с возможной реализацией информационных угроз, относятся:

киберсобытия - события реализации информационных угроз, указывающие на возможный киберинцидент;

другие события реализации информационных угроз, указывающие на возможный инцидент, связанный с реализацией информационных угроз при обработке (хранении, уничтожении) информации без использования объектов информатизации, а также указывающие на возможный инцидент, связанный со случаями побуждения клиентов финансовой организации к осуществлению финансовых (банковских) операций, в том числе операций по переводу денежных средств путем обмана или злоупотребления доверием (методов социальной инженерии), которые привели и (или) могут привести к фактам мошенничества и (или) кражи с банковского счета в отношении клиентов финансовой организации.

3.15 событие риска (реализации информационных угроз); событие риска информационной безопасности: Инцидент, связанный с реализацией информационных угроз, который привел к фактической реализации риска реализации информационных угроз, вследствие чего возникли прямые и непрямые потери финансовой организации.

3.16 управление риском реализации информационных угроз: Скоординированные действия по руководству и управлению деятельностью финансовой организации и взаимодействию с причастными сторонами в связи с риском реализации информационных угроз.

Примечания

1 Адаптировано из ГОСТ Р 53114.

2 Управление риском реализации информационных угроз в кредитных организациях должно быть направлено на общее управление рисками (в рамках системы управления рисками и капиталом), в значении, установленном нормативными актами Банка России [15].

3.17 система управления риском реализации информационных угроз: Совокупность процедур (процессов, требований и мер), применение которых направлено на обеспечение эффективности процессов управления риском реализации информационных угроз путем планирования, реализации, контроля и совершенствования таких процессов.

3.18 область применения системы управления риском реализации информационных угроз; критичная архитектура: Совокупность бизнес- и технологических процессов, критичных активов финансовой организации, включая их взаимосвязи и взаимозависимости.

3.19 аутсорсинг: Передача финансовой организацией на основании договора на длительный срок (например, от одного года) сторонней (внешней) организации - поставщику услуг выполнения бизнес- и технологических процессов финансовой организации, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялись бы финансовой организацией самостоятельно.

3.20 поставщик услуг [информационных сервисов и услуг]: Обслуживающая организация, специализирующаяся на предоставлении информационных сервисов и услуг, в том числе в рамках которых финансовые организации передают выполнение своих бизнес- и технологических процессов на аутсорсинг.

Примечания

1 Поставщиком услуг (в том числе поставщиком облачных услуг) может выступать как аффилированное в пределах финансовой организации юридическое лицо, так и физическое или юридическое лицо, которое является внешним по отношению к финансовой организации (в том числе как потребителя облачных услуг), привлекаемым для выполнения на постоянной (непрерывной) основе определенных бизнес- и технологических процессов финансовой организации, выполнение которых в обычных условиях (без привлечения поставщика услуг) осуществлялось бы финансовой организацией самостоятельно.

2 Термин "поставщик облачных услуг" используется в значении, применяемом в ГОСТ Р ИСО/МЭК 27036-4.

3.21 уровень защиты: Определенная совокупность мер управления риском реализации информационных угроз, входящих в состав системы управления таким риском, а также мер, входящих в состав систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, применяемых совместно в пределах области применения указанных систем, в том числе с целью реализации положений нормативных актов Банка России.

3.22

технологические меры защиты информации:

Меры, направленные на обеспечение безопасности технологии обработки защищаемой информации

_______________

К защищаемой информации относится информация, перечень которой определен в [8]-[10].

3.23 клиент - потребитель финансовых и (или) информационных услуг финансовой организации; клиент финансовой организации: Юридическое или физическое лицо, являющееся конечным потребителем финансовых и (или) информационных услуг финансовой организации.

3.24 внешний аудит процессов обеспечения операционной надежности и защиты информации; аудит: Независимый и документируемый процесс получения свидетельств в рамках оценки уровней зрелости процессов обеспечения операционной надежности и защиты информации и соответствия уровней зрелости соответствующих процессов принятым финансовой организацией значениям КПУР, проводимый внешней, независимой по отношению к проверяемой, проверяющей организацией.

3.25 внутренний нарушитель (безопасности информации): Лицо, в том числе работник финансовой организации, работник поставщиков услуг, реализующее информационные угрозы с использованием легально предоставленных им прав доступа, в том числе с использованием уязвимостей.

3.26 риск внутреннего нарушителя: Риск реализации информационных угроз, обусловленный наличием возможности совершения действий в отношении критичных активов со стороны внутреннего нарушителя.

3.27 внешний нарушитель (безопасности информации): Лицо, реализующее информационные угрозы без использования легально предоставленных прав доступа, с использованием уязвимостей.

3.28 операционная надежность (в условиях возможной реализации информационных угроз); киберустойчивость: Способность финансовой организации обеспечивать непрерывность функционирования бизнес- и технологических процессов (3.1) с учетом целевых показателей операционной надежности в условиях возможной реализации информационных угроз.

Примечания

1 В настоящем стандарте рассматривается частный случай определения операционной надежности.

2 В настоящем стандарте термин "операционная надежность" используется в значении, определяющем свойства осуществляемых финансовой организацией видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг.

3.29 финансовая экосистема: Совокупность пользователей, поставщиков финансовых услуг, поставщиков услуг в сфере информационных технологий, обеспечивающих функционирование финансовой экосистемы, а также техническое и технологическое сопровождение предоставления финансовых услуг в рамках финансовой экосистемы (далее - поставщики услуг в сфере информационных технологий); политик, требований и правил, обеспечивающих доступность и безопасность предоставляемых в рамках финансовой экосистемы финансовых и (или) информационных услуг.

Примечания

1 Пользователь финансовой экосистемы: юридическое или физическое лицо, являющееся конечным потребителем финансовых и (или) информационных услуг, предоставляемых в рамках финансовой экосистемы;

поставщик финансовых услуг: кредитные организации, некредитные финансовые организациями, указанные в части 1 статьи 76.1 Федерального закона [1], а также отдельные субъекты национальной платежной системы, предоставляющие финансовые и (или) информационные услуги с применением информационных технологий, реализуемых в рамках финансовой экосистемы;

поставщики услуг в сфере информационных технологий: обслуживающая организация, специализирующаяся на предоставлении информационных сервисов и услуг, обеспечивающих функционирование финансовой экосистемы, а также техническое и (или) технологическое сопровождение предоставления финансовых и (или) информационных услуг в рамках финансовой экосистемы.

2 В большинстве случаев деятельность финансовых экосистем является значимой в рамках финансовой системы, так как распространяется на широкий круг пользователей, оказывая влияние на показатели финансовой системы, характеризующие ее экономическое состояние, стабильность, а также финансовую доступность для потребителей финансовых и (или) информационных услуг.

3.30 причастная сторона (финансовой организации): Лицо, группа лиц или организация, которые могут воздействовать на риск реализации информационных угроз, подвергаться воздействию или ощущать себя подверженными воздействию такого риска в рамках взаимодействия с финансовой организацией, в том числе связанного с предоставлением финансовых и (или) информационных услуг.

Примечания

1 В настоящем стандарте к причастным сторонам финансовой организации следует относить клиентов финансовой организации, а также следующие организации:

а) другие финансовые организации, участвующие в выполнении бизнес- и технологических процессов финансовой организации (включая инфраструктурные организации финансового рынка), в том числе входящие в состав финансового объединения или финансовой экосистемы;

б) поставщики услуг (3.20), в том числе поставщики облачных услуг, а также организации, осуществляющие поставку программных и (или) аппаратных продуктов, в том числе разрабатываемых по заказу;

в) иные контрагенты финансовой организации: поставщики коммунальных услуг, поставщики телекоммуникационных услуг общего пользования.

2 Адаптировано из ГОСТ 51897.

3.31 служба информационной безопасности; служба ИБ: Специализированное подразделение (работники), ответственное (ответственные) за организацию и контроль обеспечения безопасности информации.

3.32 центры компетенции: Подразделения финансовой организации, осуществляющие в рамках системы управления риском реализации информационных угроз сбор информации и информирование о выявленном риске, оценку выявленных рисков (в пределах своей компетенции), разработку и внедрение мероприятий, направленных на уменьшение негативного влияния риска, и мониторинг уровня риска в своих процессах.

Примечание - К центрам компетенции в рамках системы управления риском реализации информационных угроз относятся подразделения, в функциональные обязанности которых входит осуществление операций и сделок в рамках своих процессов и которые несут ответственность за результаты выполнения процесса и за достижение целевых показателей процесса (подразделения), ответственные за осуществление операций и сделок и за результаты процесса, и подразделения, обеспечивающие процессы финансовой организации.

3.33 уровень зрелости: Показатель, характеризующий степень развития в финансовой организации системы управления риском реализации информационных угроз, процессов обеспечения операционной надежности и защиты информации, включая процессы применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, и реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.

Примечания

1 Определение уровня зрелости системы управления риском реализации информационных угроз осуществляется в отношении такой системы целиком согласно методике оценки зрелости, приводимой в рамках семейства стандартов УР "Управление риском реализации информационных угроз и обеспечение операционной надежности" Комплекса стандартов.

2 Определение уровня зрелости процессов обеспечения операционной надежности и защиты информации осуществляется согласно методикам оценки соответствия, приводимым в рамках семейств стандартов ОН и ЗИ комплекса стандартов соответственно.

3 Определение уровня зрелости процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов, и реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня, в отношении которых требуется проведение сертификации в системе сертификации

или проведение оценки соответствия по требованиям к оценочному уровню доверия не ниже, чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3, осуществляется в соответствии с нормативными актами Банка России.

_______________

Система сертификации федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.

3.34 служба управления рисками: Подразделение (работники), ответственное (ответственные) за осуществление функций и (или) организацию системы управления рисками финансовой организации.

Примечание - В целях организации управления операционным риском в финансовой организации рекомендуется (в случае если создание такого подразделения не предусмотрено нормативными актами Банка России [6]) создание соответствующего подразделения, структурно входящего в службу управления рисками.

3.35 подразделение, уполномоченное проводить оценку эффективности системы управления риском реализации информационных угроз; уполномоченное подразделение: Подразделение (работники), структурно независимое (независимые) от службы ИБ и службы управления рисками, уполномоченное (уполномоченные) проводить оценку эффективности функционирования системы управления риском реализации информационных угроз, в том числе оценку полноты и качества выполнения мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз (например, служба внутреннего аудита).

Примечание - В соответствии с требованиями нормативных актов Банка России на уполномоченное подразделение могут возлагаться иные функции [6], в частности проверка соблюдения требований нормативных актов Банка России.

3.36

политика, определяющая подходы к управлению риском реализации информационных угроз; политика управления риском реализации информационных угроз; политика информационной безопасности:

Общее намерение и направление, официально устанавливаемое советом директоров (наблюдательным советом) или коллегиальным исполнительным органом

финансовой организации.

_______________

В зависимости от реализуемого финансовой организацией уровня защиты, а также требований нормативных актов Банка России [6].

Примечания

1 Адаптировано из ГОСТ Р ИСО/МЭК 27002.

2 Способ документарного определения политики управления риском реализации информационных угроз финансовые организации определяют самостоятельно.

4 Сокращения

В настоящем стандарте применены следующие сокращения:

БЛ - банковская лицензия;

НКО - небанковская кредитная организация;

НСД - несанкционированный доступ;

ОПДС - оператор по переводу денежных средств;

ПО - программное обеспечение;

СВР - степень возможности реализации;

СТП - степень тяжести последствий;

УЛ - универсальная лицензия.

5 Назначение и структура стандарта

Настоящий стандарт является базовым в рамках комплекса стандартов и исходит из парадигмы, что для обеспечения должного уровня операционной надежности и защиты информации, для возможности противостоять реализации информационных угроз в виде событий риска реализации информационных угроз финансовым организациям следует обеспечивать планирование, реализацию, контроль и совершенствование следующих систем (с учетом структуры и взаимосвязей, приведенных на рисунке 2):

- системы управления риском реализации информационных угроз, определенной в рамках настоящего стандарта, формирующего основу семейства стандартов УР "Управление риском реализации информационных угроз и обеспечение операционной надежности";

- системы организации и управления защитой информации, определенной в рамках семейства стандартов ЗИ;

- системы организации и управления операционной надежностью, определенной в рамках семейства стандартов ОН.

Структура комплекса стандартов приведена на рисунке 1.

Рисунок 1 - Структура комплекса стандартов

Раздел 6 "Общие положения" настоящего стандарта содержит:

- общие положения и рекомендации по реализации финансовой организацией системы управления риском реализации информационных угроз;

- описание подхода к интеграции системы управления риском реализации информационных угроз в систему управления рисками финансовой организации.

Раздел 7 "Состав направлений, процессов и требований, определяемый комплексом стандартов" настоящего стандарта определяет состав направлений, процессов и требований по управлению риском реализации информационных угроз и обеспечению операционной надежности (семейство стандартов УР), обеспечению операционной надежности (семейство стандартов ОН), защите информации финансовых организаций (семейство стандартов ЗИ).

Раздел 8 "Требования к системе управления риском реализации информационных угроз" настоящего стандарта содержит для каждого уровня защиты описание состава мер, направленных на реализацию требований к процессам в рамках планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз.

6 Общие положения

6.1 Деятельности финансовой организации свойственен риск реализации информационных угроз, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня.

Для управления риском реализации информационных угроз финансовой организации необходимо обеспечить планирование, реализацию, контроль и совершенствование системы управления риском реализации информационных угроз.

Примечание - По решению финансовой организации могут быть созданы отдельные системы управления в целях управления отдельным видом риска реализации информационных угроз (согласно примечанию к 3.8).

Эффективное управление риском реализации информационных угроз должно начинаться с определения структуры и организации системы управления таким риском, а также политики, которая устанавливает приоритеты в вопросах управления риском реализации информационных угроз для достижения целей операционной надежности.

6.2 Вопросы управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации должны учитываться при принятии решений, связанных с общей стратегией развития бизнеса финансовой организации. Должна также учитываться значимость ресурсов (кадровых и финансовых), необходимых для обеспечения должного уровня зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.

6.3 Выполнение процессов системы управления риском реализации информационных угроз должно способствовать обеспечению операционной надежности финансовой организации применительно к совокупности бизнес- и технологических процессов, критичных активов - объектов информатизации прикладного и инфраструктурного уровней, субъектов доступа и защищаемой информации.

Примечание - В настоящем стандарте объекты информатизации подразделяются на объекты информатизации прикладного и инфраструктурного уровня.

К объектам информатизации инфраструктурного уровня относятся объекты информатизации следующих системных уровней:

- уровня аппаратного обеспечения;

- уровня сетевого оборудования;

- уровня сетевых приложений и сервисов;

- уровня операционных систем, систем управления базами данных, серверов приложений.

К объектам информатизации прикладного уровня относятся объекты информатизации следующих уровней:

а) уровня автоматизированных систем и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес- и технологических процессов финансовой организации, в том числе:

- система дистанционного банковского обслуживания;

- система обработки транзакций;

- информационные ресурсы сети Интернет;

- автоматизированная банковская система;

- система посттранзакционного обслуживания операций;

- автоматизированные системы, в том числе информационно-аналитические системы, используемые финансовой организацией;

- сервисы, предоставляемые поставщиками облачных услуг;

б) уровня автоматизированных систем и приложений, эксплуатируемых клиентом финансовой организации при пользовании финансовыми (банковскими) и (или) информационными услугами.

Критичные активы финансовой организации обладают разной степенью значимости для осуществления видов деятельности отдельной финансовой организации (в том числе для выполнения бизнес- и технологических процессов), а также в разной степени подвержены воздействию информационных угроз. Финансовой организации следует применять риск-ориентированный подход при определении приоритетов по реализации мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз таким образом, чтобы реализуемые мероприятия были адекватны и оптимальны.

6.4 Выполнение процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ЗИ и ОН комплекса стандартов, должно обеспечивать достижение следующих целей:

- обеспечение операционной надежности финансовой организации;

- обеспечение соответствия фактического уровня риска реализации информационных угроз, контроль которого также осуществляется со стороны подразделений, формирующих "вторую" и "третью линии защиты", допустимому, принятому финансовой организацией в соответствии с принятыми значениями КПУР;

- надлежащая интеграция системы управления риском реализации информационных угроз в систему управления рисками финансовой организации в составе операционного риска;

- оперативное реагирование и адаптация к изменению информационных угроз, присущих как выполнению внутренних процессов финансовой организации, так и ее внешнему взаимодействию.

6.5 Интеграция системы управления риском реализации информационных угроз в систему управления рисками финансовой организации осуществляется посредством управления риском реализации информационных угроз как одним из видов операционного риска.

Надлежащая интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации достигается:

а) интеграцией процессов системы управления риском реализации информационных угроз в состав процессов управления операционным риском, включая:

- выявление и идентификацию риска реализации информационных угроз, а также его оценку;

- планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;

- сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях;

- мониторинг риска реализации информационных угроз;

- оценку эффективности функционирования системы управления риском реализации информационных угроз;

- организацию внутренней отчетности в рамках управления риском, в том числе в целях информирования совета директоров (наблюдательного совета) и исполнительного органа финансовой организации о фактическом уровне такого риска (как составной части операционного риска);

- оценку капитала, необходимого на покрытие риска реализации информационных угроз (как составной части операционного риска), а также организация внутренней отчетности о его достаточности

;

_______________

В случае если соответствующие требования установлены нормативными актами Банка России [6].

б) следованием принципу "трех линий защиты" в рамках управления риском реализации информационных угроз (как составной частью операционного риска), а также созданием условий для реализации каждой "линией защиты" своих функций, в том числе:

- выделение необходимого ресурсного (кадрового и финансового) обеспечения;

- распределение функций, ролей и ответственности среди вовлеченных подразделений (работников), формирующих "три линии защиты";

- регулярное обучение и повышение квалификации вовлеченных работников;

- развитие корпоративной этики (культуры), устанавливающей значимость управления рисками, в том числе риском реализации информационных угроз;

- определение механизмов для взаимодействия между "линиями защиты" в рамках выполнения их функций.

Примечания

1 В качестве примера в настоящем стандарте используется следующее распределение подразделений (работников) финансовой организации согласно принципу "трех линий защиты":

- "первая линия защиты": центры компетенции;

- "вторая линия защиты": служба управления рисками (в том числе подразделение, ответственное за организацию управления операционным риском), служба ИБ;

- "третья линия защиты": уполномоченное подразделение.

2 Для выполнения функций в рамках каждой "линии защиты" могут привлекаться не одно, а несколько структурных подразделений финансовой организации;

в) интеграцией подходов к организации контроля за уровнем риска реализации информационных угроз в составе операционного риска:

- определения и установления состава, а также пороговых значений КИР, в том числе согласно требованиям нормативных актов Банка России [6], с целью оперативного мониторинга фактического уровня риска реализации информационных угроз;

- определения и установления состава, а также сигнальных и контрольных значений КПУР (в том числе согласно требованиям нормативных актов Банка России [6]);

- определения способов возмещения запланированных (ожидаемых)

и незапланированных (реализация стрессового сценария)

потерь от риска реализации информационных угроз, в том числе расчет капитала, необходимого на покрытие таких потерь

;

_______________

Определяемые на основе данных внутренней отчетности о фактических потерях за определенный временной период.

Определяемые на основе оценки возможных потерь в маловероятных, но стрессовых сценариях.

В случае если соответствующие требования установлены нормативными актами Банка России [6].

- классификации событий риска реализации информационных угроз, по источникам риска реализации информационных угроз, типам событий реализации информационных угроз, видам (направлениям) деятельности (в том числе бизнес- и технологическим процессам) финансовой организации, видам потерь финансовой организации, ее причастных сторон, в том числе клиентов финансовой организации (в том числе согласно требованиям нормативных актов Банка России [6]);

- реализации и ведения на постоянной основе аналитической базы данных о событиях риска реализации информационных угроз, в том числе согласно требованиям нормативных актов Банка России [6] (далее - база событий риска реализации информационных угроз).

Примечание - По решению финансовой организации аналитическая база данных о событиях риска реализации информационных угроз может вестись как отдельно, так и в рамках аналитической базы событий операционного риска;

- организации оперативного мониторинга значений КИР с целью принятия оперативных решений по управлению риском реализации информационных угроз, а также накопления статистических данных (в том числе согласно требованиям нормативных актов Банка России [6]);

- контроля соблюдения установленных значений КПУР с целью контроля уровня риска реализации информационных угроз, в том числе в части обеспечения соблюдения требований по достаточности капитала, необходимого на покрытие запланированных и незапланированных потерь от риска реализации информационных угроз

;

_______________

В случае если соответствующие требования установлены нормативными актами Банка России [6].

- учета фактических значений КПУР при определении способов покрытия запланированных и незапланированных потерь от риска реализации информационных угроз, в том числе при расчете капитала, необходимого на покрытие таких потерь

;

_______________

В случае если соответствующие требования установлены нормативными актами Банка России [6].

- валидации и верификации со стороны подразделения, формирующих "третью линии защиты", методологии, данных и внутренней отчетности в рамках управления риском реализации информационных угроз

_______________

Осуществляется посредством ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз (проводимой в составе оценки эффективности функционирования системы управления операционным риском).

6.6 Операционная надежность финансовой организации характеризуется:

- способностью финансовой организации обеспечивать необходимый уровень зрелости процессов обеспечения операционной надежности и защиты информации согласно принятым финансовой организацией значениям КПУР;

- способностью финансовой организации обеспечить покрытие собственных потерь, потерь причастных сторон, в том числе клиентов финансовой организации, в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз.

Примечание - В случае если требованиями нормативных актов Банка России не предусмотрено формирование резервов на покрытие потерь от реализации операционного риска, финансовые организации самостоятельно определяют способы покрытия потерь в результате инцидентов;

- способностью финансовой организации обеспечить выполнение обязательств по защите интересов клиентов финансовой организации;

- способностью финансовой организации осуществлять финансовые (банковские) операции, в том числе операции по переводу денежных средств, в рамках срока исполнения обязательств, а также обеспечивать завершенность расчетов по таким операциям согласно установленному режиму работы;

- способностью финансовой организации возобновить предоставление финансовых и (или) информационных услуг в течение установленного времени после нарушения в работе в результате инцидентов;

- способностью финансовой организации обеспечить соблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [11], а также устанавливаемых статьей 19 Федерального закона [12], статьей 16 Федерального закона [13] и Федеральным законом [14].

6.7 Настоящий стандарт определяет три уровня защиты:

- уровень 3 - минимальный;

- уровень 2 - стандартный;

- уровень 1 - усиленный.

Уровень защиты для финансовой организации устанавливается нормативными актами Банка России на основе:

- вида деятельности финансовой организации, состава предоставляемых финансовой организацией услуг, реализуемых бизнес- и технологических процессов;

- объема финансовых (банковских) операций, в том числе операций по переводу денежных средств;

- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;

- значимости и роли финансовой организации в рамках банковской системы, финансового рынка Российской Федерации и (или) национальной платежной системы.

6.8 Планирование системы управления риском реализации информационных угроз включает:

- определение политики управления риском реализации информационных угроз;

- выявление и идентификацию риска реализации информационных угроз, а также его оценку;

- организацию ресурсного (кадрового и финансового) обеспечения.

6.9 Реализация системы управления риском реализации информационных угроз включает:

- планирование, реализацию, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз:

разработку мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;

защиту от информационных угроз;

реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации;

- выявление событий риска реализации информационных угроз;

- обеспечение осведомленности об актуальных информационных угрозах.

6.10 Контроль системы управления риском реализации информационных угроз включает:

- установление и реализацию программ контроля и аудита;

- мониторинг риска реализации информационных угроз.

6.11 Совершенствование системы управления риском реализации информационных угроз включает обеспечение соответствия фактических значений КПУР принятым.

6.12 Способность финансовой организации распознавать признаки возможного инцидента имеет важное значение для обеспечения операционной надежности.

Раннее обнаружение инцидентов позволяет финансовой организации оперативно принять соответствующие меры реагирования (контрмеры), позволяющие сдержать или парировать фактическую реализацию таких инцидентов. В свою очередь, оперативное принятие мер реагирования (контрмер) в большинстве случаев позволяет свести к минимуму негативные последствия от реализации таких инцидентов.

В целях снижения возможности возникновения системных рисков невыполнения обязательств перед причастными сторонами финансовой организации следует проектировать и реализовывать свои бизнес- и технологические процессы способом, обеспечивающим быстрое и безопасное возобновление предоставления финансовых и (или) информационных услуг, а также корректное и полное восстановление данных о совершенных финансовых (банковских) операциях, в том числе операциях по переводу денежных средств.

6.13 Осведомленность об актуальных информационных угрозах способствует корректному определению финансовой организацией модели информационных угроз в контексте ее видов деятельности, связанных с предоставлением финансовых и (или) информационных услуг, в том числе их влияния на осуществление таких видов деятельности, а также полноты и качества реализуемых мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.

Достижению высокого уровня осведомленности об актуальных информационных угрозах способствует проведение анализа (исследования) возможных информационных угроз и проведение систематических работ по поиску соответствующей информации. Осведомленность об актуальных информационных угрозах может существенно повлиять на способность финансовой организации выявлять инциденты, быстро и эффективно реагировать в случае их возникновения.

В частности, осведомленность об актуальных информационных угрозах может помочь финансовой организации проанализировать уязвимости критичной архитектуры и способствовать эффективной реализации соответствующих мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.

Одним из важных условий достижения осведомленности финансовой организации об актуальных информационных угрозах является активный информационный обмен об инцидентах между финансовой организацией и участниками такого обмена:

- Банком России;

- федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

- причастными сторонами, в том числе клиентами финансовой организации;

- иными организациями как внутри финансового сектора, так и за его пределами.

6.14 Финансовая организация классифицирует все события риска реализации информационных угроз с точки зрения следующих элементов:

- источников такого риска;

- типов событий реализации информационных угроз;

- видов (направлений) деятельности финансовой организации;

- видов потерь от реализации такого риска.

Подробное описание соответствующих классификаций событий риска реализации информационных угроз приведено в приложениях А-Г.

6.15 Выполнение процессов планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз направлено на обеспечение соответствия фактических значений КПУР принятым финансовой организацией, что достигается в том числе планированием, реализацией, контролем и совершенствованием систем управления, определенных в рамках семейств стандартов ЗИ и ОН комплекса стандартов.

Оценка зрелости процессов планирования, реализации, контроля и совершенствования систем управления, определенных в рамках семейств ЗИ и ОН комплекса стандартов, осуществляется согласно методикам оценки соответствия, определяемым в рамках соответствующего семейства стандартов комплекса стандартов, посредством внешнего аудита, с привлечением аудиторской или консалтинговой организации.

Юридические лица или индивидуальные предприниматели, привлекаемые финансовой организацией для проведения работ по обеспечению и оценке операционной надежности и защиты информации, должны иметь лицензию на осуществление деятельности по технической защите конфиденциальной информации

[16].

_______________

В случае наличия соответствующих требований в нормативных актах Банка России [8]-[10].

Примечание - Финансовой организации рекомендуется для проведения внешнего аудита привлекать организации, подтвердившие соответствие своей деятельности ГОСТ Р ИСО/МЭК 27006 и ГОСТ Р ИСО/МЭК 17021-1.

6.16 В рамках осуществления деятельности финансовые организации могут выстраивать взаимодействие с иными организациями, на которых не распространяется область применения настоящего стандарта. Ввиду того, что такое взаимодействие может оказывать значительное влияние на операционную надежность финансовых организаций, крайне важно, чтобы оно базировалось на ответственном отношении к вопросам управления риском реализации информационных угроз и обеспечения операционной надежности каждой из сторон.

Примечание - Финансовой организации при выборе поставщика услуг, в том числе поставщика облачных услуг, рекомендуется привлекать организации, подтвердившие соответствие своей деятельности ГОСТ Р 57580.1.

7 Состав направлений, процессов и требований, определяемый комплексом стандартов

7.1 Финансовой организацией должны быть определены и выполняться направления, процессы, требования и меры, состав которых определяется в рамках семейств стандартов Комплекса стандартов, приведенных в разделе 5 настоящего стандарта.

7.2 Состав направлений, процессов и требований по управлению риском реализации информационных угроз и обеспечению операционной надежности, определяемый настоящим стандартом, формирующим основу семейства стандартов УР, приведен в таблице 1.

7.3 Состав направлений, процессов, требований по защите информации финансовых организаций, определяемый в рамках семейства стандартов ЗИ, приведен в таблице 2.

7.4 Состав направлений, процессов, требований по обеспечению операционной надежности, определяемый в рамках семейства стандартов ОН, приведен в таблице 3.

7.5 Состав направлений, процессов, требований и мер реализуется в рамках системы управления риском реализации информационных угроз систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, с учетом структуры и взаимосвязей, приведенных на рисунке 2.

Рисунок 2 - Структура и взаимосвязи системы управления риском реализации информационных угроз финансовой организации и систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов

Таблица 1 - Состав направлений и процессов, определяемых в рамках семейства стандартов УР "Управление риском реализации информационных угроз и обеспечение операционной надежности", и требования к их реализации


Направление по управлению риском реализации информационных угроз	Процессы по управлению риском реализации информационных угроз	Подпроцессы по управлению риском реализации информационных угроз	Требования к реализации процессов
Планирование системы управления риском реализации информационных угроз	Определение политики управления риском реализации информационных угроз		Применяемые финансовой организацией меры должны обеспечивать: - установление структуры и организации системы управления риском реализации информационных угроз, а также распределение функций, ролей и ответственности в рамках управления риском реализации информационных угроз (см. таблицу 4); - установление политики управления риском реализации информационных угроз (см. таблицу 5); - участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз (см. таблицу 6)
	Выявление и идентификация риска реализации информационных угроз, а также его оценка		Применяемые финансовой организацией меры должны обеспечивать: - идентификацию критичной архитектуры (см. таблицу 1 ГОСТ Р 57580.4-2022); - идентификацию риска реализации информационных угроз (см. таблицу 7); - выявление и моделирование информационных угроз (см. таблицу 8); - оценку риска реализации информационных угроз (см. таблицу 9)
	Организация ресурсного (кадрового и финансового) обеспечения		Применяемые финансовой организацией меры должны обеспечивать: - организацию ресурсного (кадрового и финансового) обеспечения процессов системы управления риском реализации информационных угроз (см. таблицу 10); - организацию ресурсного (кадрового и финансового) обеспечения функционирования службы ИБ (см. таблицу 11); - организацию целевого обучения по вопросам выявления и противостояния реализации информационных угроз (см. таблицу 12)
	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Разработка мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Применяемые финансовой организацией меры должны обеспечивать: - выбор и применение способа реагирования на риск реализации информационных угроз (см. таблицу 13); - разработку мероприятий, направленных на снижение СВР инцидентов (см. таблицу 14); - разработку мероприятий, направленных на ограничение СТП инцидентов (см. таблицу 15)
Реализация системы управления риском реализации информационных угроз	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Защита от информационных угроз	Применяемые финансовой организацией меры должны обеспечивать: - защиту информации финансовой организации (см. таблицу 16); - операционную надежность (см. таблицу 17); - управление риском реализации информационных угроз при аутсорсинге (см. таблицу 18); - управление риском внутреннего нарушителя (см. таблицу 14 ГОСТ Р 57580.4-2022); - управление риском реализации информационных угроз в финансовых экосистемах (см. таблицу 19); - предотвращение утечек информации (см. таблицы 1-12, 29-31 ГОСТ Р 57580.1-2017)
	Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	Реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации	Применяемые финансовой организацией меры должны обеспечивать: - реагирование на инциденты в отношении критичной архитектуры (см. таблицу 6 ГОСТ Р 57580.4-2022); - восстановление функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов (см. таблицу 7 ГОСТ Р 57580.4-2022); - проведение анализа причин и последствий реализации инцидентов (см. таблицу 8 ГОСТ Р 57580.4-2022); - организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации (см. таблицу 9 ГОСТ Р 57580.4-2022)
	Выявление событий риска реализации информационных угроз		Применяемые финансовой организацией меры должны обеспечивать: - сбор и регистрацию информации о внутренних событиях риска реализации информационных угроз и потерях (см. таблицу 20); - выявление и фиксацию инцидентов, в том числе обнаружение компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации (см. таблицу 5 ГОСТ Р 57580.4-2022); - ведение претензионной работы (см. таблицу 21)
Реализация системы управления риском реализации информационных угроз	Обеспечение осведомленности об актуальных информационных угрозах		Применяемые финансовой организацией меры должны обеспечивать: - организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз (см. таблицу 15 ГОСТ Р 57580.4-2022); - использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации (см. таблицу 16 ГОСТ Р 57580.4-2022); - повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз (см. таблицу 17 ГОСТ Р 57580.4-2022)
Контроль системы управления риском реализации информационных угроз	Установление и реализация программ контроля и аудита		Применяемые финансовой организацией меры должны обеспечивать: - проведение самооценки и профессиональной независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации (см. таблицу 22); - проведение сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения) (см. таблицу 12 ГОСТ Р 57580.4-2022); - оценку эффективности функционирования системы управления риском реализации информационных угроз (см. таблицу 23); - организацию внутренней отчетности в рамках управления риском реализации информационных угроз (см. таблицу 24)
	Мониторинг риска реализации информационных угроз		Финансовая организация должна применять меры по мониторингу риска реализации информационных угроз (см. таблицу 25)
Совершенствование системы управления риском реализации информационных угроз	Обеспечение соответствия фактических значений КПУР принятым		Применяемые финансовой организацией меры должны обеспечивать: - проведение анализа необходимости совершенствования системы управления риском реализации информационных угроз (см. таблицу 26); - принятие решений по совершенствованию системы управления риском реализации информационных угроз (см. таблицу 27)

Таблица 2 - Состав направлений и процессов, определяемых в рамках семейства стандартов ЗИ "Защита информации финансовой организации", и требования к их реализации


Направления, процессы (подпроцессы) по защите информации		Требования к реализации направлений, процессов (подпроцессов) по защите информации
Обеспечение защиты информации при управлении доступом	Управление учетными записями и правами субъектов логического доступа	Применяемые финансовой организацией меры должны обеспечивать: - организацию и контроль использования учетных записей субъектов логического доступа (см. таблицу 1 ГОСТ Р 57580.1-2017); - организацию и контроль предоставления (отзыва) и блокирования логического доступа (см. таблицу 2 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с операциями с учетными записями и правами логического доступа, и контроль использования предоставленных прав логического доступа (см. таблицу 3 ГОСТ Р 57580.1-2017)
	Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа	Применяемые финансовой организацией меры должны обеспечивать: - идентификацию и аутентификацию субъектов логического доступа (см. таблицу 4 ГОСТ Р 57580.1- 2017); - организацию управления и организацию защиты идентификационных и аутентификационных данных (см. таблицу 5 ГОСТ Р 57580.1-2017); - авторизацию (разграничение доступа) при осуществлении логического доступа (см. таблицу 6 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа (см. таблицу 7 ГОСТ Р 57580.1-2017)
	Защита информации при осуществлении физического доступа	Применяемые финансовой организацией меры должны обеспечивать: - организацию и контроль физического доступа в помещения, в которых расположены объекты доступа (см. таблицу 8 ГОСТ Р 57580.1-2017); - организацию и контроль физического доступа к объектам доступа, расположенным в публичных (общедоступных) местах (см. таблицу 9 ГОСТ Р 57580.1-2017); - регистрацию событий, связанных с физическим доступом (см. таблицу 10 ГОСТ Р 57580.1-2017)
	Идентификация и учет ресурсов и объектов доступа	Применяемые финансовой организацией меры должны обеспечивать: - организацию учета и контроль состава ресурсов и объектов доступа (см. таблицу 11 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа (см. таблицу 12 ГОСТ Р 57580.1-2017)
Обеспечение защиты вычислительных сетей	Сегментация и межсетевое экранирование вычислительных сетей	Применяемые финансовой организацией меры должны обеспечивать: - сегментацию и межсетевое экранирование внутренних вычислительных сетей (см. таблицу 13 ГОСТ Р 57580.1-2017); - защиту внутренних вычислительных сетей при взаимодействии с сетью Интернет (см. таблицу 14 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с операциями по изменению параметров защиты вычислительных сетей (см. таблицу 15 ГОСТ Р 57580.1-2017)
Обеспечение защиты вычислительных сетей	Выявление вторжений и сетевых атак	Применяемые финансовой организацией меры должны обеспечивать: - мониторинг и контроль содержимого сетевого трафика (см. таблицу 16 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика (см. таблицу 17 ГОСТ Р 57580.1-2017)
	Защита информации, передаваемой по вычислительным сетям	Финансовой организацией должны применяться меры по защите информации, передаваемой по вычислительным сетям (см. таблицу 18 ГОСТ Р 57580.1-2017)
	Защита беспроводных сетей	Применяемые финансовой организацией меры должны обеспечивать: - защиту информации от раскрытия и модификации при использовании беспроводных сетей (см. таблицу 19 ГОСТ Р 57580.1-2017); - защиту внутренних вычислительных сетей при использовании беспроводных сетей (см. таблицу 20 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с использованием беспроводных сетей (см. таблицу 21 ГОСТ Р 57580.1-2017)
Контроль целостности и защищенности информационной инфраструктуры		Применяемые финансовой организацией меры должны обеспечивать: - контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации (см. таблицу 22 ГОСТ Р 57580.1-2017); - организацию и контроль размещения, хранения и обновления ПО информационной инфраструктуры (таблица 23 ГОСТ Р 57580.1-2017); - контроль состава и целостности ПО информационной инфраструктуры (см. таблицу 24 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры (см. таблицу 25 ГОСТ Р 57580.1-2017)
Защита от вредоносного кода		Применяемые финансовой организацией меры должны обеспечивать: - организацию эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры (см. таблицу 26 ГОСТ Р 57580.1-2017); - организацию и контроль применения средств защиты от вредоносного кода (таблица 27 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с реализацией защиты от вредоносного кода (таблица 28 ГОСТ Р 57580.1-2017)
Предотвращение утечек информации		Применяемые финансовой организацией меры должны обеспечивать: - блокирование не разрешенных к использованию и контроль разрешенных к использованию потенциальных каналов утечки информации (см. таблицу 29 ГОСТ Р 57580.1-2017); - контроль (анализ) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации (см. таблицу 30 ГОСТ Р 57580.1-2017); - организацию защиты машинных носителей информации (см. таблицу 31 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации (см. таблицу 32 ГОСТ Р 57580.1-2017)
Управление инцидентами защиты информации	Мониторинг и анализ событий защиты информации	Применяемые финансовой организацией меры должны обеспечивать: - организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации (см. таблицу 33 ГОСТ Р 57580.1-2017); - сбор, защиту и хранение данных регистрации о событиях защиты информации (см. таблицу 34 ГОСТ Р 57580.1-2017); - анализ данных регистрации о событиях защиты информации (см. таблицу 35 ГОСТ Р 57580.1- 2017); - регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации (см. таблицу 36 ГОСТ Р 57580.1-2017)
	Обнаружение инцидентов защиты информации и реагирование на них	Применяемые финансовой организацией меры должны обеспечивать: - обнаружение и регистрацию инцидентов защиты информации (см. таблицу 37 ГОСТ Р 57580.1- 2017); - организацию реагирования на инциденты защиты информации (см. таблицу 38 ГОСТ Р 57580.1- 2017); - организацию хранения и защиту информации об инцидентах защиты информации (см. таблицу 39 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них (см. таблицу 40 ГОСТ Р 57580.1-2017)
Защита среды виртуализации		Применяемые финансовой организацией меры должны обеспечивать: - организацию идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 41 ГОСТ Р 57580.1-2017); - организацию и контроль информационного взаимодействия и изоляции виртуальных машин (см. таблицу 42 ГОСТ Р 57580.1-2017); - организацию защиты образов виртуальных машин (см. таблицу 43 ГОСТ Р 57580.1-2017); - регистрацию событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации (см. таблицу 44 ГОСТ Р 57580.1-2017)
Защита информации при осуществлении удаленного логического доступа работников организации кредитно-финансовой сферы с использованием мобильных (переносных) устройств		Применяемые финансовой организацией меры должны обеспечивать: - защиту информации от раскрытия и модификации при осуществлении удаленного доступа (см. таблицу 45 ГОСТ Р 57580.1-2017); - защиту внутренних вычислительных сетей при осуществлении удаленного доступа (см. таблицу 46 ГОСТ Р 57580.1-2017); - защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах (см. таблицу 47 ГОСТ Р 57580.1-2017)
Планирование процесса системы защиты информации		В рамках направления "планирование" финансовая организация обеспечивает определение (пересмотр) (см. таблицу 48 ГОСТ Р 57580.1-2017): - области применения процесса системы защиты информации; - состава применяемых (а также неприменяемых) мер защиты информации; - состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации; - порядка применения мер защиты информации в рамках процесса системы защиты информации
Реализация процесса системы защиты информации		В рамках направления "реализация" финансовая организация обеспечивает (см. таблицу 49 ГОСТ Р 57580.1-2017): - должное применение мер защиты информации; - определение ролей защиты информации, связанных с применением мер защиты информации; - назначение ответственных лиц за выполнение ролей защиты информации; - доступность реализации технических мер защиты информации; - применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации организации кредитно-финансовой сферы; - обучение, практическую подготовку (переподготовку) работников организации кредитно-финансовой сферы, ответственных за применение мер защиты информации; - повышение осведомленности (инструктаж) работников организации кредитно-финансовой сферы в области защиты информации
Контроль процесса системы защиты информации		Применяемые финансовой организацией меры защиты информации должны обеспечивать контроль (см. таблицу 50 ГОСТ Р 57580.1-2017): - области применения процесса системы защиты информации; - должного применения мер защиты информации в рамках процесса системы защиты информации; - знаний работников организации кредитно-финансовой сферы в части применения мер защиты информации
Совершенствование процесса системы защиты информации		Применяемые финансовой организацией меры в рамках направления "совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации (см. таблицу 51 ГОСТ Р 57580.1-2017)
Защита информации на этапах жизненного цикла автоматизированных систем и приложений		Применяемые финансовой организацией меры на этапах жизненного цикла автоматизированных систем (далее - АС) должны обеспечивать (см. таблицы 53-56 ГОСТ Р 57580.1-2017): - определение состава мер защиты информации, реализуемых в АС (мер системы защиты информации АС); - должное применение и контроль применения мер системы защиты информации АС; - контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС; - конфиденциальность защищаемой информации

Таблица 3 - Состав направлений и процессов, определяемых в рамках семейства стандартов ОН "Обеспечение операционной надежности", и требования к их реализации


Направления и процессы по обеспечению операционной надежности	Требования к реализации направлений и процессов по обеспечению операционной надежности
Идентификация критичной архитектуры	Применяемые финансовой организацией меры должны обеспечивать: - организацию учета и мониторинга состава элементов критичной архитектуры (см. таблицу 1 ГОСТ Р 57580.4-2022)
Управление изменениями	Применяемые финансовой организацией меры должны обеспечивать: - организацию и выполнение процедур управления изменениями в критичной архитектуре (см. таблицу 2 ГОСТ Р 57580.4-2022), направленных на: предотвращение возникновения уязвимостей в критичной архитектуре, с использованием которых могут реализовываться информационные угрозы и которые могут повлечь превышение (отклонение от) значений целевых показателей операционной надежности; планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение (повышение) операционной надежности финансовой организации; - управление конфигурациями объектов информатизации, входящих в критичную архитектуру (см. таблицу 3 ГОСТ Р 57580.4-2022); - управление уязвимостями и обновлениями (исправлениями) объектов информатизации, входящих в критичную архитектуру (см. таблицу 4 ГОСТ Р 57580.4-2022)
Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации	Применяемые финансовой организацией меры должны обеспечивать: - выявление и фиксацию инцидентов, в том числе обнаружение компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации (см. таблицу 5 ГОСТ Р 57580.4-2022); - реагирование на инциденты в отношении критичной архитектуры (см. таблицу 6 ГОСТ Р 57580.4-2022); - восстановление функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов (см. таблицу 7 ГОСТ Р 57580.4-2022); - проведение анализа причин и последствий реализации инцидентов (см. таблицу 8 ГОСТ Р 57580.4-2022); - организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации (см. таблицу 9 ГОСТ Р 57580.4-2022)
Взаимодействие с поставщиками услуг	Применяемые финансовой организацией меры должны обеспечивать: - управление риском реализации информационных угроз при привлечении поставщиков услуг, в том числе защиту объектов информатизации, входящих в критичную архитектуру, от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг (см. таблицу 10 ГОСТ Р 57580.4-2022); - управление риском технологической зависимости функционирования объектов информатизации финансовой организации от поставщиков услуг (см. таблицу 11 ГОСТ Р 57580.4-2022)
Тестирование операционной надежности бизнес- и технологических процессов	Финансовая организация должна применять меры по проведению сценарного анализа (в части возможной реализации информационных угроз) и тестирования с использованием его результатов готовности финансовой организации противостоять реализации информационных угроз в отношении критичной архитектуры (киберучения) (см. таблицу 12 ГОСТ Р 57580.4-2022)
Защита критичной архитектуры от возможной реализации информационных угроз при организации удаленной работы	Финансовая организация должна применять меры по защите критичной архитектуры от возможной реализации информационных угроз при организации удаленной работы (см. таблицу 13 ГОСТ Р 57580.4-2022)
Управление риском внутреннего нарушителя	Финансовая организация должна применять меры по управлению риском внутреннего нарушителя (см. таблицу 14 ГОСТ Р 57580.4-2022)
Обеспечение осведомленности об актуальных информационных угрозах	Применяемые финансовой организацией меры должны обеспечивать: - организацию взаимодействия финансовой организации и причастных сторон, в том числе клиентов финансовой организации, при обмене информацией об актуальных сценариях реализации информационных угроз (см. таблицу 15 ГОСТ Р 57580.4-2022); - использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения операционной надежности финансовой организации (см. таблицу 16 ГОСТ Р 57580.4-2022); - повышение осведомленности работников финансовой организации в части противостояния реализации информационных угроз (см. таблицу 17 ГОСТ Р 57580.4-2022)
Планирование процесса системы обеспечения операционной надежности	В рамках направления "планирование" финансовая организация обеспечивает определение (пересмотр) (см. таблицу 18 ГОСТ Р 57580.4-2022): - области применения процесса обеспечения операционной надежности; - состава применяемых (а также неприменяемых) мер обеспечения операционной надежности; - состава и содержания мер обеспечения операционной надежности, являющихся дополнительными к базовому составу мер, определяемых на основе актуальных информационных угроз; - порядка применения мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности
Реализация процесса системы обеспечения операционной надежности	В рамках направления "реализация" финансовая организация обеспечивает (см. таблицу 19 ГОСТ Р 57580.4-2022): - должное применение организационных и технических мер; - назначение ответственных лиц за выполнение ролей по обеспечению операционной надежности; - доступность реализации технических мер; - обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение организационных и технических мер; - повышение осведомленности (инструктаж) работников финансовой организации в области обеспечения операционной надежности
Контроль процесса системы обеспечения операционной надежности	Применяемые финансовой организацией меры должны обеспечивать контроль (см. таблицу 20 ГОСТ Р 57580.4-2022): - области применения процесса обеспечения операционной надежности; - должного применения организационных и технических мер; - знаний работников финансовой организации в части применения организационных и технических мер
Совершенствование процесса системы обеспечения операционной надежности	Применяемые финансовой организацией меры в рамках направления "совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер обеспечения операционной надежности (см. таблицу 21 ГОСТ Р 57580.4-2022)

8 Требования к системе управления риском реализации информационных угроз

8.1 Общие положения

8.1.1 Настоящий раздел устанавливает требования к мерам по управлению риском реализации информационных угроз для следующих направлений:

а) направление 1 "планирование системы управления риском реализации информационных угроз" (см. таблицы 4-12);

б) направление 2 "реализация системы управления риском реализации информационных угроз" (см. таблицы 13-21);

в) направление 3 "контроль системы управления риском реализации информационных угроз" (см. таблицы 22-25);

г) направление 4 "совершенствование системы управления риском реализации информационных угроз" (см. таблицы 26, 27).

8.1.2 Способы реализации мер по управлению риском реализации информационных угроз, установленные в таблицах раздела 8 настоящего стандарта, обозначены следующим образом:

- "О" - реализация путем применения организационной меры

;

_______________

По решению финансовой организации способ "О" может быть реализован путем применения технической меры.

- "Т" - реализация путем применения технической меры;

- "Н" - реализация является необязательной.

8.2 Направление 1 "Планирование системы управления риском реализации информационных угроз"

8.2.1 Процесс "Определение политики управления риском реализации информационных угроз"

8.2.1.1 Применяемые финансовой организацией меры по определению политики управления риском реализации информационных угроз должны обеспечивать:

- установление структуры и организации системы управления риском реализации информационных угроз, а также распределение функций, ролей и ответственности в рамках управления риском реализации информационных угроз;

- установление политики управления риском реализации информационных угроз;

- участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз.

При реализации процесса "Определение политики управления риском реализации информационных угроз" рекомендуется использовать ГОСТ Р ИСО/МЭК 27001, а также [17].

8.2.1.2 Состав мер по установлению структуры и организации системы управления риском реализации информационных угроз, а также распределению функций, ролей и ответственности в рамках управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 4.

Таблица 4 - Состав мер по установлению структуры и организации системы управления риском реализации информационных угроз, а также распределению функций, ролей и ответственности в рамках управления риском реализации информационных угроз


Условное обозначение и	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
номер меры		3	2	1
ОПР.1	Установление во внутренних документах финансовой организации структуры и организации системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ, включая:	-	-	-
ОПР.1.1	- определение и описание состава процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.1.2	- описание структуры и подходов к интеграции процессов управления риском реализации информационных угроз в систему управления операционным риском финансовой организации	О	О	О
ОПР.1.3	- определение организационной структуры финансовой организации, задействованной в выполнении процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля	О	О	О
ОПР.1.4	- выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.1.5	- порядок утверждения и условия пересмотра структуры и организации систем управления риском реализации информационных угроз, операционной надежности и защиты информации	О	О	О
ОПР.2	Реализация механизмов взаимодействия и координации деятельности* вовлеченных подразделений, формирующих "три линии защиты", а также причастных сторон (за исключением клиентов финансовой организации) в целях подготовки и реализации политики управления риском реализации информационных угроз	О	О	О
ОПР.3	Определение должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз** финансовой организации (в том числе согласно требованиям нормативных актов Банка России [3]): - имеющего прямое подчинение лицу, осуществляющему функции единоличного исполнительного органа финансовой организации; - не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования объектов информатизации; - обладающего достаточными знаниями, компетенцией, полномочиями и ресурсами (кадровыми и финансовыми) для принятия руководящих решений по вопросам управления риском реализации информационных угроз; - имеющего возможность прямого информирования единоличного исполнительного органа финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз	О	О	О
ОПР.4	Установление функций и полномочий подразделений, формирующих "первую линию защиты", включающих: - идентификацию риска реализации информационных угроз (в пределах своей компетенции) в рамках реализуемых ими бизнес- и технологических процессов; - сбор информации и информирование о внутренних событиях риска реализации информационных угроз и потерях подразделения, ответственного за регистрацию такой информации в базе событий риска реализации информационных угроз (службы ИБ); - участие в оценке риска реализации информационных угроз (в пределах компетенции) в рамках реализуемых ими бизнес- и технологических процессов; - обеспечение соблюдения требований к планированию, реализации, контролю (в пределах компетенции) и совершенствованию мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз	О	О	О
ОПР.5	Установление функций и полномочий службы ИБ***:	-	-	-
ОПР.5.1	В целях обеспечения ИБ: - разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации; - планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации; - разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ); - выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации; - формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России [6]; осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации	О	О	О
ОПР.5.2	В целях управления риском реализации информационных угроз: - разработка и (или) пересмотр внутренних документов во взаимодействии с иными подразделениями, формирующими "вторую линию защиты" в области управления риском реализации информационных угроз, в том числе политики управления риском реализации информационных угроз и документов, определяющих методологию в рамках управления таким риском; - идентификация риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими "первую линию защиты"); - сбор и регистрация информации о событиях риска реализации информационных угроз и потерях в базе событий такого риска (в том числе во взаимодействии с подразделениями, формирующими "первую линию защиты");	О	О	О
	- ведение базы событий риска реализации информационных угроз; - мониторинг риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими "первую линию защиты"), включая определение и мониторинг значений КИР в целях контроля за возможным превышением сигнальных и контрольных значений КПУР; - планирование, реализация (в том числе установление требований) и контроль во взаимодействии с иными подразделениями, формирующими "вторую линию защиты", мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз ; - разработка предложений по совершенствованию процессов управления риском реализации информационных угроз (по результатам анализа необходимости совершенствования систем управления риском реализации информационных угроз); - расчет и обоснование сигнальных и контрольных значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации; - расчет фактических значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес-и технологических процессов финансовой организации;
	- осуществление мониторинга риска реализации информационных угроз, включая мониторинг соблюдения сигнальных и контрольных значений КПУР; - организация процесса обеспечения осведомленности об актуальных информационных угрозах; - разработка предложений по ресурсному (кадровому и финансовому) обеспечению службы ИБ; - участие в реализации программ контроля и аудита операционной надежности и защиты информации (в части самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации); - разработка предложений по совершенствованию системы управления риском реализации информационных угроз; - формирование отчетности в рамках управления риском реализации информационных угроз, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России [6]; - информирование работников финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз; - осуществление других функций, связанных с управлением риском реализации информационных угроз, предусмотренных внутренними документами финансовой организации
ОПР.6	Установление функций и полномочий подразделений, формирующих "вторую линию защиты" в части управления риском реализации информационных угроз, включающих: - интеграцию системы управления риском реализации информационных угроз в систему управления операционным риском; - координацию деятельности по управлению риском реализации информационных угроз как одним из видов операционного риска; - валидацию КИР;	О	О	О
	- расчет и обоснование сигнальных и контрольных значений КПУР (за исключением сигнальных и контрольных значений КПУР, расчет и обоснование которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы); - расчет фактических значений КПУР (за исключением фактических значений КПУР, расчет которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы); - координацию деятельности по отражению информации о событиях риска реализации информационных угроз в базе событий операционного риска; - включение отчетности, формируемой в рамках управления риском реализации информационных угроз, в отчетность об управлении операционным риском; - определение (во взаимодействии со службой ИБ) согласованной или единой методологии управления риском реализации информационных угроз, обеспечивающей интеграцию процессов управления риском реализации информационных угроз в рамках процессов управления операционным риском
ОПР.7	Установление функций и полномочий подразделений, формирующих "третью линию защиты", в части управления риском реализации информационных угроз, включающих проведение ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз , в том числе в целях: - валидации и верификации методологии и данных об управлении риском реализации информационных угроз (оценка адекватности методологии на предмет ее согласованности с внутренними политиками и требованиями финансовой организации, проверка полноты и корректности данных о риске реализации информационных угроз и событиях такого риска); - валидации внутренней отчетности в рамках управления риском реализации информационных угроз, представляемой на рассмотрение совету директоров (наблюдательному совету); - содействия своевременному и адекватному реагированию подразделениями, формирующими "первую" и "вторую линии защиты", на недостатки функционирования системы управления риском реализации информационных угроз (в части их устранения); - оценки соблюдения требований нормативных актов Банка России, в частности, [6]	О	О	О
* Реализация механизмов взаимодействия и координации деятельности может быть реализована, например, посредством постоянно действующего комитета по вопросам управления риском реализации информационных угроз. К функциям указанного комитета рекомендуется относить: - рассмотрение вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации с учетом требований (стратегии, потребностей, видения) и целей вовлеченных подразделений, формирующих "три линии защиты", и причастных сторон (за исключением клиентов финансовой организации), ресурсного (кадрового и финансового) обеспечения и применяемых объектов информатизации; - разработку состава КПУР, а также их сигнальных и контрольных значений с учетом требований (стратегий, потребностей, видения) вовлеченных подразделений, формирующих "три линии защиты"; - распределение и согласование задач, координацию взаимодействия вовлеченных подразделений, формирующих "три линии защиты", и причастных сторон (за исключением клиентов финансовой организации) в рамках процессов планирования, реализации, контроля и совершенствования системы управления риском информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов;
- обеспечение данных для мониторинга деятельности вовлеченных подразделений, формирующих "три линии защиты", и причастных сторон (за исключением клиентов финансовой организации) по выполнению процессов планирования, реализации, контроля и совершенствования системы управления риском информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов. Функции комитета по вопросам управления риском реализации информационных угроз могут быть реализованы в рамках иного комитета, например комитета по управлению рисками.
При принятии финансовой организацией решения о создании отдельных систем управления под каждый вид риска реализации информационных угроз (согласно примечанию к 3.8) для каждой системы управления может быть назначено отдельное ответственное должностное лицо, с соблюдением предъявляемых в рамках ОПР.3 требований к такому лицу. * Рекомендуется относить функции и полномочия службы ИБ ко "второй линии защиты". Допускается отнесение отдельных функций и полномочий, перечисленных в ОПР.5.1 и ОПР.5.2 настоящей таблицы, к функциям и полномочиям иных подразделений, если иное не установлено нормативными актами Банка России [6]. В случае принятия финансовой организацией отдельных функций и полномочий службы ИБ к функциям и полномочиям иных подразделений положения настоящего стандарта также применяются в отношении соответствующих подразделений. За исключением планирования, реализации, контроля и совершенствования процессов обеспечения операционной надежности и защиты информации. В составе оценки эффективности функционирования системы управления операционным риском.

8.2.1.3 Состав мер по установлению политики управления риском реализации информационных угроз применительно к уровням защиты приведен в таблице 5.

Таблица 5 - Состав мер по установлению политики управления риском реализации информационных угроз


Условное обозначение и	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
номер меры		3	2	1
ОПР.8	Установление политикой управления риском реализации информационных угроз основных принципов функционирования системы управления таким риском:	-	-	-
ОПР.8.1	- направленность на обеспечение операционной надежности финансовой организации	О	О	О
ОПР.8.2	- интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации	О	О	О
ОПР.8.3	- соответствие политики управления риском реализации информационных угроз, а также устанавливаемых ею приоритетов общим бизнес-целям финансовой организации	О	О	О
ОПР.8.4	- систематический и проактивный подход в части противостояния возможным информационным угрозам	О	О	О
ОПР.8.5	- участие совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.9	Установление политикой управления риском реализации информационных угроз следующих задач управления таким риском:	-	-	-
ОПР.9.1	- обеспечение возможности покрытия потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации, в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз*	О	О	О
ОПР.9.2	- обеспечение возможности поддержания непрерывного предоставления финансовых и (или) информационных услуг в условиях возможной реализации информационных угроз	О	О	О
ОПР.9.3	- защиты интересов клиентов финансовой организации в случае их потерь в результате инцидентов	О	О	О
ОПР.9.4	- соблюдения требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона [1], части 3 статьи 27 Федерального закона [11], а также устанавливаемых статьей 19 Федерального закона [12], статьей 16 Федерального закона [13] и Федеральным законом [14]	О	О	О
ОПР.10	Установление целей и требований политики управления риском реализации информационных угроз с участием и по согласованию с вовлеченными подразделениями, формирующими "три линии защиты"	О	О	О
ОПР.11	Установление политикой управления риском реализации информационных угроз в целях контроля за достижением целей управления таким риском состава КПУР**, а также их сигнальных и контрольных значений по следующим группам:	-	-	-
ОПР.11.1	- группа КПУР, характеризующих уровень совокупных потерь финансовой организации в результате событий риска реализации информационных угроз	О	О	О
ОПР.11.2	- группа КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации	О	О	О
ОПР.11.3	группа КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов	О	О	О
ОПР.12	Установление политикой управления риском реализации информационных угроз допустимого уровня такого риска (риск-аппетита финансовой организации) с учетом сигнальных и контрольных значений КПУР**	О	О	О
ОПР.13	Установление политикой управления риском реализации информационных угроз основных принципов и подходов к организации контроля за функционированием системы управления таким риском, включая:	-	-	-
ОПР.13.1	- пересмотр (в том числе условия пересмотра) политики управления риском реализации информационных угроз при изменении целей финансовой организации, в том числе в части допустимого уровня такого риска (риск-аппетита финансовой организации), существенных изменений в критичной архитектуре, существенного изменения модели информационных угроз	О	О	О
ОПР.13.2	- организацию внутренней отчетности в рамках управления риском реализации информационных угроз, включая внутреннюю отчетность об уровне зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.13.3	- валидацию и верификацию со стороны подразделений, формирующих "третью линии защиты", методологии, данных и внутренней отчетности в рамках управления риском реализации информационных угроз	О	О	О
ОПР.13.4	- адекватное и своевременное реагирование на неудовлетворительные результаты валидации и верификации	О	О	О
ОПР.14	Установление политикой управления риском реализации информационных угроз требований к созданию ресурсных (кадровых и финансовых) условий для обеспечения необходимого уровня зрелости процессов управления таким риском, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.15	Установление политикой управления риском реализации информационных угроз требований к привлекаемым в рамках аутсорсинга бизнес- и технологических процессов, а также процессов обеспечения операционной надежности и защиты информации поставщикам услуг, в том числе поставщикам облачных услуг (в части установления требуемого уровня зрелости процессов обеспечения операционной надежности и защиты информации в рамках соглашения об аутсорсинге), а также порядка взаимодействия и распределения ответственности между финансовой организацией и поставщиками услуг, в том числе поставщиками облачных услуг	О	О	О
ОПР.16	Установление политикой управления риском реализации информационных угроз функций и ответственности коллегиального исполнительного органа и работников финансовой организации в рамках управления риском реализации информационных угроз	О	О	О
ОПР.17	Установление политикой управления риском реализации информационных угроз области применения системы управления таким риском	О	О	О
* В случае если требованиями нормативных актов Банка России не предусмотрено формирование резервов на покрытие потерь от реализации операционного риска, финансовые организации самостоятельно определяют способы покрытия потерь в результате инцидентов. ** Состав КПУР по каждой группе, а также их сигнальные и контрольные значения приведены в приложениях Д, Е.

8.2.1.4 Состав мер по участию совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации применительно к уровням защиты приведен в таблице 6.

Примечание - Состав мер, приведенных в таблице 6, применяется в части, не противоречащей законодательству Российской Федерации [18], [19], а также требованиям нормативных актов Банка России [6].

Таблица 6 - Состав мер по участию совета директоров (наблюдательного совета) и коллегиального исполнительного органа финансовой организации в решении вопросов управления риском реализации информационных угроз


Условное обозначение и	Содержание мер системы управления риском реализации информационных угроз	Уровень защиты
номер меры		3	2	1
ОПР.18	Установление внутренними документами финансовой организации распределения зон компетенции* совета директоров (наблюдательного совета), коллегиального исполнительного органа финансовой организации (а в случае его отсутствия - единоличного исполнительного органа) и подотчетных им коллегиальных органов в части решения вопросов, связанных с управлением риском реализации информационных угроз, обеспечением операционной надежности и защиты информации	Н	О	О
ОПР.19	Отнесение к зоне компетенции совета директоров (наблюдательного совета), коллегиального исполнительного органа финансовой организации (а в случае его отсутствия - единоличного исполнительного органа) или подотчетных им коллегиальных органов финансовой организации следующих вопросов**, связанных с управлением риском реализации информационных угроз:	-	-	-
ОПР.19.1	- утверждение политики управления риском реализации информационных угроз***	О	О	О
ОПР.19.2	- рассмотрение вопросов, связанных с управлением риском реализации информационных угроз, при возможном влиянии такого риска на принимаемые решения, связанные с общей стратегией развития финансовой организации	О	О	О
ОПР.19.3	- утверждение допустимого уровня риска реализации информационных угроз (риск-аппетита финансовой организации), состава КПУР, а также их сигнальных и контрольных значений	О	О	О
ОПР.19.4	- обеспечение как минимум ежегодного контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР	О	О	О
ОПР.19.5	- обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов	О	О	О
ОПР.19.6	- рассмотрение отчета об управлении риском реализации информационных угроз (в составе отчета об управлении операционным риском) за год	О	О	О
ОПР.19.7	- рассмотрение отчета о результатах оценки эффективности функционирования системы управления риском реализации информационных угроз (в составе отчета о результатах оценки эффективности системы управления операционным риском)	О	О	О
ОПР.19.8	- рассмотрение вопросов планирования и достаточности ресурсного (кадрового и финансового) обеспечения для реализации политики управления риском реализации информационных угроз, а также поддержания функционирования структуры и организации систем управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации	О	О	О
ОПР.19.9	- обеспечение реагирования финансовой организации в случае превышения сигнальных и контрольных значений КПУР	О	О	О
ОПР.19.10	- ответственность за соблюдение требований политики управления риском реализации информационных угроз	О	О	О
ОПР.19.11	- организация деятельности в целях реализации политики управления риском реализации информационных угроз	О	О	О
ОПР.19.12	- утверждение структуры и организации системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов, и контроль за поддержанием функционирования таких систем	О	О	О
ОПР.19.13	- организация и контроль за деятельностью по представлению на рассмотрение необходимой отчетности для контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР	О	О	О
ОПР.19.14	- периодический контроль за фактическими значениями КПУР	О	О	О
ОПР.19.15	- контроль за осуществлением мониторинга риска реализации информационных угроз	Н	Н	О
ОПР.19.16	- управление ресурсным (кадровым и финансовым) обеспечением для целей в рамках выполнения процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов	О	О	О
ОПР.20	Отнесение к зоне компетенции совета директоров (наблюдательного совета) или коллегиального исполнительного органа (а в случае его отсутствия - единоличного исполнительного органа) финансовой организации вопросов, связанных с формированием корпоративной этики (культуры), предполагающей:	-	-	-
ОПР.20.1	- признание и закрепление важной роли и высокой ответственности каждого работника финансовой организации в части управления риском реализации информационных угроз, включая противостояние реализации информационных угроз	О	О	О
ОПР.20.2	- организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угрозах в целях противостояния реализации информационных угроз	О	О	О
* В том числе на случай кризисных (чрезвычайных или нештатных) ситуаций, требующих выполнения мероприятий по обеспечению непрерывности и восстановлению деятельности финансовой организации. В случае если иное не установлено нормативными актами Банка России [6]. * Финансовая организация может определять политику управления риском реализации информационных угроз как отдельный документ, так и включать в состав иных внутренних документов, определяющих правила управления рисками или обеспечения информационной безопасности в финансовой организации. Утверждение включает рассмотрение политики управления риском реализации информационных угроз, а также устанавливаемых ею приоритетов на предмет согласованности с общими бизнес-целями финансовой организации, с учетом мнения подразделений, формирующих "три линии защиты". При принятии решений, связанных с общей стратегией развития финансовой организации, целесообразно принимать во внимание влияние принимаемых решений на уровень риска реализации информационных угроз, а также операционную надежность финансовой организации (в частности, влияние на предоставление финансовых и (или) информационных услуг).

Полная версия документа доступна с 20.00 до 24.00 по московскому времени.

Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.