ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер
7.4 Процесс 3 "Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации"
7.4.1 Применяемые финансовой организацией меры по выявлению, регистрации, реагированию на инциденты и восстановлению после их реализации должны обеспечивать:
- выявление и фиксацию инцидентов, в том числе обнаружение компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
- реагирование на инциденты в отношении критичной архитектуры;
- восстановление функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов;
- проведение анализа причин и последствий реализации инцидентов;
- организацию взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации.
При реализации процесса "Выявление, регистрация, реагирование на инциденты, связанные с реализацией информационных угроз, и восстановление после их реализации" рекомендуется использовать [28] - [31].
7.4.2 Состав мер по выявлению и фиксации инцидентов, в том числе обнаружению компьютерных атак и выявлению фактов (индикаторов) компрометации объектов информатизации применительно к уровням защиты, приведен в таблице 5.
Таблица 5
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
ВРВ.1 | Организация мониторинга и выявления событий, связанных с возможной реализацией информационных угроз в рамках процессов, реализуемых в соответствии с требованиями ГОСТ Р 57580.1, в целях своевременного обнаружения: - компьютерных атак; - аномальной активности лиц, имеющих легальный доступ к объектам информатизации финансовой организации; - неправомерного использования доступа поставщиками услуг или другими доверенными организациями; - фактов утечки защищаемой информации | О | О | О |
ВРВ.2 | Организация мониторинга и выявления событий реализации информационных угроз, предусмотренных мерой ВРВ.1, с учетом технического описания сценариев возможных компьютерных атак <*> | Н | О | О |
ВРВ.3 | Организация сбора и фиксации технических данных (свидетельств) <**> о выявленных событиях реализации информационных угроз в рамках процессов защиты информации, реализуемых в соответствии с ГОСТ Р 57580.1, в целях проведения их последующего анализа, а также в случае необходимости проведения компьютерной экспертизы | Н | О | О |
ВРВ.4 | Создание механизмов инициативного информирования работниками финансовой организации о событиях реализации информационных угроз, в частности реализации компьютерных атак | О | О | Т |
ВРВ.5 | Организация и выполнение деятельности по получению сведений об актуальных индикаторах компрометации объектов информатизации: - от Банка России, осуществляющего направление таких сведений в соответствии с требованиями законодательства Российской Федерации [2]; - доверенных причастных сторон, осуществляющих направление таких сведений | Т | Т | Т |
ВРВ.6 | Реализация защиты от вредоносного кода на основе полученных сведений об актуальных индикаторах компрометации объектов информатизации, в том числе с привлечением для выполнения такой деятельности специалистов, обладающих необходимой компетенцией <***> | Т | Т | Т |
<*> В указанном случае мониторинг событий реализации информационных угроз целесообразно выстраивать согласно принципу эшелонированной защиты, подбирая индивидуальный набор инструментов мониторинга для каждого отдельного контура безопасности в зависимости: - от наличия в рамках рассматриваемого контура безопасности объектов информатизации, отвечающих критериям доступности из внешней сети Интернет; - состава бизнес- и технологических процессов, реализуемых в рамках рассматриваемого контура безопасности; - класса защищаемой информации, хранимой, подготавливаемой и передаваемой в рамках рассматриваемого контура безопасности. <**> Рекомендуется определять набор и объем собираемых технических данных (свидетельств) таким образом, чтобы обеспечивалась возможность выявления и детального описания новых информационных угроз, включая ранее неизвестные уязвимости и сценарии реализации таких угроз. Набор и объем собираемых технических данных (свидетельств) также следует рассматривать на предмет достаточности для случаев регистрации произошедших инцидентов в качестве событий риска реализации информационных угроз в базе событий риска согласно требованиям нормативных актов Банка России, в частности [6]. Организацию и выполнение деятельности по сбору и фиксации технических данных (свидетельств) целесообразно осуществлять с учетом рекомендаций, приведенных в [32]. <***> Если финансовая организация не располагает необходимыми компетенциями, рекомендуется рассмотреть возможность заключения договоров (контрактов) с поставщиками соответствующих услуг. | ||||
7.4.3 Состав мер по реагированию на инциденты в отношении критичной архитектуры применительно к уровням защиты приведен в таблице 6.
Таблица 6
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
ВРВ.7 | Определение порядка реагирования на инциденты, включая разработку и определение: | |||
ВРВ.7.1 | - целевых показателей реагирования на инциденты | О | О | О |
ВРВ.7.2 | - методологии проведения предварительной оценки потенциала влияния (критичности) инцидента, включая его классификацию согласно типовому перечню и классификационным признакам | Н | О | О |
ВРВ.7.3 | - типового перечня инцидентов и классификационных признаков, в том числе на основе классификатора событий риска реализации информационных угроз согласно приложениям А, Б, В, Г ГОСТ Р 57580.3-2022 | О | О | О |
ВРВ.7.4 | - ролей, связанных с реагированием на инциденты | О | О | О |
ВРВ.7.5 | - правил и процедур (playbooks) реагирования на инциденты | О | О | О |
ВРВ.7.6 | - перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках реагирования на инциденты | О | О | О |
ВРВ.7.7 | - форматов и способов реализации информационного обмена об инцидентах внутри финансовой организации, а также с причастными сторонами в рамках реагирования на инциденты | О | О | О |
ВРВ.7.8 | - показателей оценки эффективности реагирования на инциденты, характеризующих степень достижения установленных целевых показателей | О | О | О |
ВРВ.8 | Утверждение порядка реагирования на инциденты единоличным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации | О | О | О |
ВРВ.9 | Определение в качестве целевых показателей реагирования на инциденты: - ограничение распространения и предотвращение повторения инцидентов внутри финансовой организации, а также среди причастных сторон, в том числе клиентов финансовой организации; - ограничение СТП инцидентов для финансовой организации для соблюдения контрольных и сигнальных значений КПУР, предусмотренных ГОСТ Р 57580.3, в том числе ограничение собственных финансовых потерь, а также финансовых потерь причастных сторон, включая клиентов финансовой организации; - соблюдение допустимого времени простоя и (или) деградации бизнес- и технологических процессов, а также сигнальных и контрольных значений КПУР, предусмотренных ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6] - [8] | О | О | О |
ВРВ.10 | Включение в состав классификационных признаков инцидентов, как минимум: - типы компьютерных атак; - векторы (направления) компьютерных атак; - типы атакуемых объектов; - тип нарушителя безопасности информации; - бизнес- и технологические процессы (включая технологические участки), в рамках которых реализована или может быть реализована компьютерная атака; - возможные последствия, в том числе финансовых потерь от реализации инцидентов | Н | О | О |
ВРВ.11 | Организация и выполнение деятельности по проведению предварительной оценки потенциала влияния (критичности) инцидента, включая его классификацию согласно типовому перечню и классификационным признакам <*> в целях: | |||
ВРВ.11.1 | - применения соответствующего набора правил и процедур (playbooks) реагирования на инциденты, утверждаемого должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз | Н | О | О |
ВРВ.11.2 | - информирования причастных сторон (включая клиентов финансовой организации, в случае возникновения такой необходимости), на которых повлияли или могут повлиять последствия инцидента | О | О | О |
ВРВ.11.3 | - информирования Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации [5], в том числе нормативных актов Банка России [7], [8], [11] - [13], [33] | Н | О | О |
ВРВ.12 | Включение в состав ролей в рамках реагирования на инциденты в дополнение к ролям группы реагирования на инциденты защиты информации (ГРИЗИ), предусмотренным ГОСТ Р 57580.1: | |||
ВРВ.12.1 | - роли владельца инцидента (подразделения, в рамках деятельности которого произошел инцидент), ответственного за координацию своей деятельности в условиях реализации отдельного инцидента | Н | О | О |
ВРВ.12.2 | - роли независимого наблюдателя, ответственного за фиксацию (документирование) действий, предпринятых в рамках реагирования на каждом этапе реализации отдельного инцидента | Н | О | О |
ВРВ.12.3 | - роли ответственного за взаимодействие с общественностью и средствами массовой информации (СМИ), агрегирующего информацию о статусе обработки инцидентов для упорядоченного обновления и направления информационных сообщений для общественности и СМИ | Н | Н | О |
ВРВ.13 | Разработка <**> состава правил и процедур (playbooks) реагирования на инциденты на основе: - информации, полученной в рамках консультации с подразделениями, формирующими "первую линию защиты" (пример распределения подразделений финансовой организации согласно принципу "трех линий защиты" приведен в ГОСТ Р 57580.3); - возможных сценариев реализации информационных угроз (в том числе компьютерных атак); - сценариев реализовавшихся информационных угроз (в том числе компьютерных атак) | О | О | О |
ВРВ.14 | Включение в состав правил и процедур (playbooks) реагирования на инциденты, в том числе процедур: | |||
ВРВ.14.1 | - приоритизации, эскалации и принятия (или делегирования прав по принятию) решений в рамках реагирования на инциденты, в том числе на основе определенного уровня критичности инцидента | Н | Т | Т |
ВРВ.14.2 | - взаимодействия финансовой организации с Банком России, причастными сторонами, в том числе с клиентами финансовой организации, в целях ограничения финансовых потерь от осуществления финансовых (банковских) операций, в том числе переводов денежных средств, без согласия клиента | О | Т | Т |
ВРВ.14.3 | - взаимодействия финансовой организации с общественностью и СМИ при реализации инцидентов | Н | О | О |
ВРВ.14.4 | - по ограничению распространения инцидентов | О | О | О |
ВРВ.14.5 | - по снижению СТП инцидентов | О | О | О |
ВРВ.14.6 | - сбора и фиксации технических данных (свидетельств) в рамках реагирования на инциденты для анализа причин и последствий реализации инцидентов | Н | О | Т |
ВРВ.14.7 | - формирования отчетности в рамках реагирования на инциденты, в том числе в целях реализации требований нормативных актов Банка России, в частности [6] | О | О | Т |
ВРВ.15 | Организация и выполнение деятельности в рамках реагирования на инциденты согласно установленным правилам и процедурам (playbooks) в зависимости от уровня влияния (критичности) инцидента | О | О | О |
ВРВ.16 | Организация и выполнение деятельности по ограничению распространения инцидентов внутри финансовой организации, а также среди причастных сторон (за исключением клиентов финансовой организации), в том числе: | |||
ВРВ.16.1 | - оперативное устранение или ограничение воздействия источников и причин реализации инцидентов | О | О | Т |
ВРВ.16.2 | - изоляция или отключение объектов информатизации (части объектов информатизации), на которые повлияла или может повлиять реализация инцидента <***> | О | О | Т |
ВРВ.17 | Организация и выполнение деятельности по снижению тяжести последствий от реализации инцидентов, в том числе: | |||
ВРВ.17.1 | - сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры, с учетом технического описания сценариев возможных компьютерных атак | Н | О | Т |
ВРВ.17.2 | - применение риск-ориентированной модели для установления лимитов по параметрам финансовых (банковских) операций, в том числе переводов денежных средств, при использовании каналов дистанционного обслуживания | Н | О | Т |
ВРВ.17.3 | - реализация механизмов приостановления осуществления финансовых (банковских) операций, в том числе операций по переводу денежных средств, в соответствии с нормативными актами Банка России [34] | Н | О | Т |
ВРВ.18 | Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств) <*4> в рамках реагирования на инциденты, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных данных | Н | Т | Т |
ВРВ.19 | Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями | Н | Н | О |
ВРВ.20 | Уничтожение всех вредоносных элементов (артефактов) с объектов информатизации, в отношении которых реализовался инцидент, после сбора и фиксации технических данных (свидетельств) | Т | Т | Т |
<*> Для проведения предварительной оценки потенциала влияния (критичности) инцидента финансовой организацией должны быть заранее определены шкала критичности инцидентов и критерии отнесения инцидентов к различным уровням согласно данной шкале. Результатом такой оценки является присвоение уровня критичности инциденту согласно заранее определенной шкале. <**> Для проработки или проверки отдельных норм (в том числе технического характера), требующих высокой квалификации исполнителя, в рамках разработки правил и процедур (playbooks) реагирования на инциденты финансовым организациям следует привлекать внутренних или внешних экспертов. <***> При принятии решений об изоляции или отключении объектов информатизации (части объектов информатизации), на которые повлияла или может повлиять реализация инцидента, финансовым организациям следует учитывать влияние таких действий: - на осуществление видов деятельности финансовой организации; - уровень операционного риска; - затраты и потери финансовой организации. <*4> Организацию и выполнение деятельности по сбору и фиксации технических данных (свидетельств) целесообразно осуществлять с учетом рекомендаций, приведенных в [32]. | ||||
7.4.4 Состав мер по восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов применительно к уровням защиты приведен в таблице 7.
Таблица 7
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
ВРВ.21 | Определение порядка восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, включая разработку и определение: | |||
ВРВ.21.1 | - целевых показателей восстановления после реализации инцидентов | О | О | О |
ВРВ.21.2 | - ролей, связанных с восстановлением после реализации инцидентов | О | О | О |
ВРВ.21.3 | - правил и процедур (playbooks) восстановления после реализации инцидентов | Н | О | О |
ВРВ.21.4 | - перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках восстановления после реализации инцидентов | О | О | О |
ВРВ.21.5 | - форматов и способов реализации информационного обмена о предпринятых действиях и статусе восстановления после инцидентов внутри финансовой организации, а также с причастными сторонами в рамках восстановления после реализации инцидентов | О | О | О |
ВРВ.21.6 | - критериев оценки завершения восстановления и условий закрытия инцидента | О | О | О |
ВРВ.21.7 | - показателей оценки эффективности восстановления после реализации инцидентов | О | О | О |
ВРВ.22 | Утверждение порядка восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов единоличным исполнительным органом финансовой организации или должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз финансовой организации | О | О | О |
ВРВ.23 | Определение в качестве целевых показателей восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов: - выявление и устранение причин реализации инцидентов; - восстановление функционирования бизнес- и технологических процессов и объектов информатизации, а также восстановление данных финансовой организации в соответствии с заданными объемами (ЦТВД) и временными периодами (ЦВВ), устанавливаемыми с учетом допустимого уровня простоя и (или) деградации бизнес- и технологических процессов, а также сигнальных и контрольных значений КПУР, предусмотренных ГОСТ Р 57580.3 | О | О | О |
ВРВ.24 | Определение ролей, связанных с восстановлением функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, и привлечение к их выполнению, в том числе: - работников службы информационной безопасности; - работников подразделения информатизации, ответственных за поддержание функционирования объектов информатизации; - работников подразделений, формирующих "первую линию защиты"; - работников иных подразделений, формирующих "вторую линию защиты", в случае необходимости; - внешних экспертов, посредством заключения соответствующих контрактов (договоров) в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников | О | О | О |
ВРВ.25 | Разработка (а также утверждение должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз) состава правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов на основе: - информации, полученной в рамках консультации с владельцами бизнес-процессов финансовой организации; - условий функционирования объектов информатизации; - сценариев реализовавшихся информационных угроз | О | О | О |
ВРВ.26 | Включение в состав правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов: | |||
ВРВ.26.1 | - процедур выявления и устранения причин реализации инцидентов, в том числе путем обновления состава объектов информатизации финансовой организации | О | О | О |
ВРВ.26.2 | - процедур восстановления выполнения бизнес- и технологических процессов финансовой организации в заданные временные периоды (согласно ЦВВ) | О | О | О |
ВРВ.26.3 | - процедур восстановления функционирования объектов информатизации на каждом из уровней информационной инфраструктуры с учетом взаимосвязей и взаимозависимостей между объектами информатизации | О | О | О |
ВРВ.26.4 | - процедур восстановления данных <*> с помощью резервных копий в заданных объемах (согласно ЦТВД) | Т | Т | Т |
ВРВ.26.5 | - процедур привлечения, в случае необходимости, компетентных специалистов соответствующих организаций - поставщиков услуг | О | О | О |
ВРВ.26.6 | - процедур по снижению СТП инцидентов | О | О | О |
ВРВ.26.7 | - процедур сбора и фиксации технических данных (свидетельств) в рамках восстановления после реализации инцидентов для анализа причин и последствий реализации инцидентов | Н | Т | Т |
ВРВ.26.8 | - процедур формирования отчетности в рамках восстановления после реализации инцидентов | О | О | Т |
ВРВ.26.9 | - графика (приоритетности и последовательности) при восстановлении функционирования бизнес- и технологических процессов и объектов информатизации | О | О | О |
ВРВ.27 | Организация и выполнение деятельности в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным <**> правилам и процедурам (playbooks) | О | О | О |
ВРВ.28 | Регистрация (документирование) выполняемых действий (операций) <***> (а также фиксация времени начала и окончания их выполнения) в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным правилам и процедурам (playbooks) | Н | О | Т |
ВРВ.29 | Организация и выполнение деятельности по снижению СТП инцидентов, в том числе: | |||
ВРВ.29.1 | - обеспечение непрерывности выполнения бизнес- и технологических процессов за счет использования резервных (альтернативных) каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации | О | О | О |
ВРВ.29.2 | - обеспечение возможности перехода от эксплуатации основных каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации к резервным (альтернативным) в соответствии с заданными временными периодами (ЦВВ) и заданными объемами восстановления данных (ЦТВД) | О | Т | Т |
ВРВ.30 | Определение в качестве критериев для оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации и условий закрытия инцидента, в том числе: - проведение тестирования (проверки) <*4> восстановленных бизнес- и технологических процессов, объектов информатизации и данных; - полное устранение или нейтрализация воздействия источника реализовавшегося инцидента | О | О | О |
ВРВ.31 | Организация и выполнение деятельности по проведению оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации согласно определенным критериям перед принятием решения о закрытии соответствующего инцидента | О | О | О |
ВРВ.32 | Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств) <*5> в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных технических данных (свидетельств) | Н | Т | Т |
ВРВ.33 | Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями | Н | Н | О |
<*> Процедуры восстановления данных должны разрабатываться и применяться с учетом требований, предъявляемых подразделениями, формирующими "первую линию защиты". Процедуры восстановления данных должны предусматривать возможность восстановления данных на стороне причастных сторон - участников финансовой экосистемы и поставщиков услуг. В отношении восстанавливаемых данных следует применять механизмы обеспечения целостности таких данных (сверки с данными из резервных центров хранения, проверки контрольных сумм). При наиболее неблагоприятном сценарии допускается восстановление данных финансовой организацией на основе сведений причастных сторон - участников финансовой экосистемы и поставщиков услуг, в том числе клиентов финансовой организации. <**> В случае необходимости отклонения от утвержденных правил и процедур (playbooks) восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов такие отклонения проходят предварительную проверку и утверждаются должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз, до их внедрения. <***> Регистрация (документирование) операций, выполняемых в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, включает описание примененных инструментов и внесенных в настройки объектов информатизации изменений в виде, позволяющем использовать этот опыт в будущем при решении подобных проблем. <*4> Перед возвращением объектов информатизации в режим штатного функционирования в производственной среде финансовым организациям следует провести соответствующие тесты на предмет: - полного устранения вредоносных элементов (артефактов) от реализации инцидента, связанного с реализацией информационных угроз, в объектах информатизации; - работоспособности объектов информатизации; - соответствия настроек объектов информатизации установленным требованиям к безопасности. <*5> Организацию и выполнение деятельности по сбору и фиксации технических данных (свидетельств) целесообразно осуществлять с учетом рекомендаций, приведенных в [32]. | ||||
7.4.5 Состав мер по проведению анализа причин и последствий реализации инцидентов применительно к уровням защиты приведен в таблице 8.
Таблица 8
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
ВРВ.34 | Организация и выполнение деятельности по проведению анализа причин и последствий реализации инцидентов, включающего: | |||
ВРВ.34.1 | - определение целевых показателей анализа технических данных (свидетельств) | Н | О | О |
ВРВ.34.2 | - сбор и анализ технических данных (свидетельств) <*> в рамках выявления, реагирования на инциденты и восстановления после их реализации | Н | Т | Т |
ВРВ.34.3 | - определение источников и выявление причин реализации инцидентов | О | Т | Т |
ВРВ.34.4 | - описание сценариев реализации инцидентов | Н | Н | О |
ВРВ.34.5 | - оценку последствий от реализации инцидентов, влияния последствий на КПУР, предусмотренных ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6] - [8], в том числе оценку прямых и непрямых финансовых потерь от реализации инцидентов | О | О | О |
ВРВ.34.6 | - привлечение, при необходимости, к такому анализу Банка России (ФинЦЕРТ) <**> | О | О | О |
ВРВ.34.7 | - фиксацию и информирование о результатах проведенного анализа, в том числе в базе событий риска, предусмотренной ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6] | О | О | О |
ВРВ.34.8 | - оценку эффективности <***> выявления, реагирования на инциденты и восстановления после их реализации | О | О | О |
ВРВ.35 | Организация и выполнение деятельности по проведению компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг, в том случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников | Н | Н | О |
ВРВ.36 | Определение в качестве целевых показателей анализа технических данных (свидетельств), собранных в рамках выявления, реагирования на инциденты и восстановления после их реализации: - определение (в том числе выявление новых) сценариев реализации инцидентов; - предотвращение повторной реализации инцидентов; - проведение идентификации субъектов, реализующих инциденты; - своевременное выявление маркеров "скрытого" несанкционированного управления объектами информатизации | Н | О | О |
ВРВ.37 | Организация и выполнение деятельности по информированию о результатах проведенного анализа причин и последствий реализации инцидентов: - исполнительного органа финансовой организации <*4>; - должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз; - причастных сторон (за исключением клиентов финансовой организации); - Банка России (ФинЦЕРТ) <*5> | О | О | О |
ВРВ.38 | Определение в качестве показателей для оценки эффективности выявления, реагирования на инциденты и восстановления после их реализации: - оперативности выявления, регистрации и реагирования на инцидент; - своевременности и корректности предварительной оценки влияния (критичности) инцидента; - полноты, качества и оперативности восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидента; - эффективности выполнения процедур приоритизации, эскалации и принятия (или делегирования прав по принятию) решений; - эффективности взаимодействия в рамках реагирования на инциденты и восстановления после их реализации как внутри финансовой организации, так и с причастными сторонами, в том числе клиентами финансовой организации | О | О | О |
<*> Организацию и выполнение деятельности по сбору и фиксации технических данных (свидетельств) целесообразно осуществлять с учетом рекомендаций, приведенных в [32]. <**> Финансовой организации следует определить условия привлечения к проведению анализа причин и последствий реализации инцидентов Банка России (ФинЦЕРТ). <***> Оценку эффективности деятельности по выявлению, реагированию на инциденты и восстановлению после их реализации следует осуществлять в рамках регулярной оценки эффективности системы управления риском реализации информационных угроз, меры по проведению которой предусмотрены ГОСТ Р 57580.3, в том числе согласно требованиям нормативных актов Банка России, в частности [6]. <*4> Финансовой организацией должны быть определены формат и условия информирования исполнительного органа финансовой организации о результатах проведенного анализа причин и последствий реализации инцидентов. <*5> Мера применяется в отношении тех инцидентов, о которых следует информировать Банк России на основании требований нормативных актов Банка России [7], [8], [11] - [13], [33] в соответствии с установленными формами и сроками [35]. | ||||
7.4.6 Состав мер по организации взаимодействия между подразделениями финансовой организации, а также между финансовой организацией и Банком России, причастными сторонами в рамках реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации применительно к уровням защиты приведен в таблице 9.
Таблица 9
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
ВРВ.39 | Организация и выполнение деятельности по информированию <*> об инцидентах Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации [5], в том числе нормативных актов Банка России [7], [8], [11] - [13], [33] | О | Т | Т |
ВРВ.40 | Организация взаимодействия в целях координации действий по реагированию на инциденты и восстановлению после их реализации: - внутри финансовой организации (между структурными подразделениями, формирующими "три линии защиты"); - с причастными сторонами (за исключением клиентов финансовой организации), включая поставщиков услуг (в том числе поставщиков облачных услуг); - с Банком России (ФинЦЕРТ) | О | О | О |
ВРВ.41 | Организация и выполнение деятельности по информированию <**> согласно определенным форматам и способам информационного обмена в рамках реагирования на инциденты и восстановления после их реализации: - совета директоров (наблюдательного совета) финансовой организации и исполнительного органа финансовой организации; - должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз; - структурных подразделений, формирующих "три линии защиты" в рамках управления риском реализации информационных угроз; - причастных сторон, в том числе клиентов финансовой организации | О | О | О |
ВРВ.42 | Организация и выполнение деятельности по подготовке и направлению на рассмотрение совету директоров (наблюдательному совету) или коллегиальному исполнительному органу финансовой организации отчетов о реагировании на инциденты и восстановлении после их реализации не реже одного раза в год (в том числе согласно требованиям нормативного акта Банка России [6]), оказавших влияние на фактические значения КПУР, предусмотренные ГОСТ Р 57580.3 (с указанием информации, характеризующей влияние инцидентов на фактические значения КПУР) с учетом требований нормативных актов Банка России [6] - [8] | Н | О | О |
ВРВ.43 | Организация и выполнение деятельности по информированию должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, по каждому факту реализации инцидентов: - о масштабах влияния реализации инцидента на осуществление видов деятельности финансовой организации, о влиянии на фактические значения КПУР, предусмотренные ГОСТ Р 57580.3, с учетом требований нормативных актов Банка России [6] - [8]; - бизнес- и технологических процессах, на непрерывность выполнения которых оказано влияние в результате реализации инцидента; - сроках и условиях, при которых будет восстановлено выполнение бизнес- и технологических процессов, в том числе восстановлено функционирование задействованных объектов информатизации; - предпринятых и запланированных действиях в рамках реагирования на инциденты и восстановления после их реализации, а также статусе выполнения соответствующих работ; - сведениях, которые могут быть раскрыты и доведены до потребителей финансовых услуг | О | О | О |
ВРВ.44 | Организация и выполнение деятельности по информированию причастных сторон (за исключением клиентов финансовой организации): - о влиянии реализации инцидента на непрерывность выполнения взаимосвязанных и взаимозависимых бизнес- и технологических процессов; - предпринятых и запланированных действиях в рамках реагирования на инциденты и восстановления после их реализации, а также статусе выполнения соответствующих работ | О | О | О |
ВРВ.45 | Организация и выполнение деятельности по информированию клиентов финансовой организации в рамках взаимодействия при реализации инцидентов: - о влиянии инцидента на предоставление финансовых и (или) информационных услуг, а также на конфиденциальность данных клиентов финансовой организации, в том числе их аутентификационных данных, используемых в рамках каналов дистанционного обслуживания; - планируемых сроках и условиях, которые необходимы для восстановления предоставления финансовой организацией финансовых и (или) информационных услуг; - рекомендуемых действиях, которые следует предпринять клиентам финансовой организации для снижения риска реализации информационных угроз | О | О | О |
<*> Направление информации о фактах реализации инцидентов следует осуществлять в соответствии с установленными формами и сроками [35]. <**> Финансовой организации должен быть определен порядок эскалации инцидентов [включая условия информирования совета директоров (наблюдательного совета), исполнительного органа финансовой организации], условия информирования причастных сторон, в том числе клиентов финансовой организации, а также сроки информирования об инцидентах, в том числе с учетом требований нормативных актов Банка России к информированию о событиях риска реализации информационных угроз, в частности [6]. Мера (в том числе меры ВРВ.42 - ВРВ.45) применяется в отношении инцидентов, о которых следует информировать Банк России на основании требований нормативных актов Банка России [7], [8], [11] - [13], [33] в соответствии с установленными формами и сроками [35]. | ||||
Подписаться на обновления