С 1 февраля вступают в силу Стандарты ГОСТ по управлению риском и обеспечению операционной надежности
С 1 февраля 2023 года вступили в действие Стандарты безопасности финансовых (банковских) организаций:
«Управление риском реализации информационных угроз и обеспечение информационной надежности» (ГОСТ Р 57580.3-2022)
«Обеспечение информационной надежности. Базовый состав организационных и технических мер» (ГОСТ Р 57580.4-2022).
Стандарты разработаны Банком России при участии экспертов с учетом международных практик в области киберустойчивости (Технический комитет №122 «Стандарты финансовых операций при Банка России»).
Документы содержат положения по определению политики управления риском, меры по его выявлению, оценке и мониторингу. В стандартах также описаны мероприятия по снижению риска, порядку реагирования на киберинциденты и восстановления инфраструктуры после их реализации, правила взаимодействия с поставщиками услуг в сфере информационных технологий, проведения киберучений, говорится на сайте Банка России.
Члены комитета НАУФОР по экономической и информационной безопасности принимали активное участие в разработке утвержденных стандартов. Поясняет председатель комитета НАУФОР по экономической и информационной безопасности Михаил Шабанов:
«В ГОСТе 57580.3 - 2022 представлена структура (и взаимосвязи) системы управления рисками реализации информационных угроз, которая предполагает, что значения, принятые некредитной финансовой организацией контрольные показатели уровня риска (КПУР) ввиду требований системы управления рисками, состоящей из управления операционной надежностью и защитой информации, приобретают уже фактические значения.
Данный стандарт использует риск-ориентированный подход к организации информационной системы организаций, с применением методов управления риском (информационных угроз) через идентификацию, оценку, планирование, осуществление, совершенствование и контроль процессов по управлению рисками. В ГОСТе прописываются основные требования к данным процессам в виде требований, которым организации должны соответствовать.
Если отталкиваться от Положения Банка России в области операционных рисков и операционной надежности, то можно отметить, что технологические процессы в ГОСТ имеют некоторые отличия от указанных в Приложениях к Положению 779-П. Следует отметить, что НФО для определения бизнес- и технологических процессов для соответствия ГОСТ не потребуется больших трудозатрат на определение этих процессов. Также в Приложениях определены КПУР реализации информационных угроз как для кредитных, так и некредитных финансовых организаций.
С момента вступления в силу ГОСТов 57580.3 и 57580.4 решение задачи по реализации требований Положения 779-П Банка России будет существенно упрощено. Однако полностью реализовать все нововведения принятых стандартов можно будет после внесения изменений в соответствующие нормативные документы Банка России. В настоящее время стандарты носят рекомендательный характер."
01.02.2023