ГОСТ Р 57580.4-2022. Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер
7.5 Процесс 4 "Взаимодействие с поставщиками услуг"
7.5.1 Применяемые финансовой организацией меры по взаимодействию с поставщиками услуг должны обеспечивать:
- управление риском реализации информационных угроз при привлечении поставщиков услуг, в том числе защиту объектов информатизации, входящих в критичную архитектуру от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг.
Примечание - В рамках настоящего стандарта рассматривается часть деятельности по управлению риском, связанная с принятием мер, направленных на нейтрализацию информационных угроз (снижением СВР и ограничением СТП от реализации информационных угроз), обусловленных привлечением поставщиков услуг в сфере информационных технологий, в том числе защита объектов информационной инфраструктуры от возможной реализации информационных угроз со стороны поставщиков услуг в сфере информационных технологий;
- управление риском технологической зависимости функционирования объектов информатизации финансовой организации от поставщиков услуг.
Примечание - В рамках настоящего стандарта рассматривается часть деятельности по управлению риском, связанная с принятием мер, направленных на нейтрализацию информационных угроз (снижением СВР и ограничением СТП от реализации информационных угроз), обусловленных технологической зависимостью функционирования объектов информационной инфраструктуры кредитной организации от поставщиков услуг в сфере информационных технологий.
При реализации процесса "Взаимодействие с поставщиками услуг" рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-2, ГОСТ Р ИСО/МЭК 27036-4, а также [36].
7.5.2 Состав мер по управлению риском реализации информационных угроз при привлечении поставщиков услуг, в том числе по защите объектов информатизации, входящих в критичную архитектуру от возможной реализации информационных угроз, включая компьютерные атаки, со стороны поставщиков услуг применительно к уровням защиты приведен в таблице 10.
Таблица 10
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
ВПУ.1 | Обнаружение и предотвращение вторжений (несанкционированных сетевых подключений) посредством объектов информатизации, используемых поставщиками услуг в рамках своей деятельности | Н | Т | Т |
ВПУ.2 | Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети финансовой организации <*> | О | О | О |
ВПУ.3 | Определение процедур по обеспечению безопасности цепи поставок (для целей обеспечения операционной надежности) в отношении поставщиков услуг, входящих в критичную архитектуру, включая: | |||
ВПУ.3.1 | - определение приоритета в отношении поставщиков услуг, реализующих необходимые процедуры по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации, в том числе обеспечивающих "прозрачность" в отношении реализуемых ими процессов производства и сопровождения объектов информатизации, а также имеющих необходимую зрелость собственных процессов обеспечения безопасности цепи поставок, подтвержденную посредством проведения независимой оценки (внешнего аудита) <**> | Н | О | О |
ВПУ.3.2 | - анализ деятельности поставщиков услуг [в том числе до заключения соглашений на поставку объектов информатизации и (или) предоставление сторонних информационных сервисов], включая оценку реализуемых поставщиком услуг процедур по обеспечению безопасности на этапах жизненного цикла поставляемых объектов информатизации и минимизации риска их несанкционированной модификации на этапах поставки | Н | О | О |
ВПУ.3.3 | - оценку квалификации, опыта и репутации поставщиков услуг | О | О | О |
ВПУ.3.4 | - использование всевозможных источников информации для анализа и оценки поставщиков объектов информатизации и (или) сторонних информационных сервисов | О | О | О |
ВПУ.3.5 | - выявление слабостей или недостатков цепи поставок посредством проведения независимой оценки (внешнего аудита) <**> | Н | Н | О |
ВПУ.3.6 | - предварительную оценку (испытание, тестирование) объектов информатизации перед их использованием в качестве элементов критичной архитектуры (на этапах подбора или принятия в эксплуатацию, а также при их модернизации) | Н | Т | Т |
ВПУ.4 | Разработка и применение процедур по обеспечению безопасности цепи поставок в отношении процессов обеспечения операционной надежности финансовой организации, переданных на аутсорсинг, в том числе: | |||
ВПУ.4.1 | - заключение соглашений об уровне оказания услуг (SLA) и неразглашении информации конфиденциального характера (NDA) в отношении поставщиков услуг <***> | О | О | О |
ВПУ.4.2 | - назначение основного и альтернативного поставщиков услуг (в том числе поставщика услуг, связанных с защитой от информационных угроз) в том случае, если основной поставщик услуг не сможет оказывать необходимый уровень услуг в кризисной ситуации <*4> | Н | О | О |
<*> В частности, разработка и применение процедур изоляции и (или) блокирования сетевого взаимодействия с объектами информатизации поставщиков услуг, а также каналов взаимодействия, представляющих угрозу для вычислительных сетей и объектов информатизации финансовой организации. <**> Принятие решений о проведении независимой оценки (внешнего аудита) следует осуществлять на основе риск-ориентированного подхода. Рекомендуется рассматривать проведение независимой оценки системы менеджмента безопасности цепи поставок согласно ГОСТ Р ИСО 28000. <***> Если для предоставления услуг финансовой организации поставщик заключает дополнительные договоры с подрядными организациями, в отношении данных подрядных организаций должны быть заключены SLA и NDA. <*4> Например, при реализации крупномасштабного инцидента. | ||||
7.5.3 Состав мер по управлению риском технологической зависимости функционирования объектов информатизации финансовой организации от поставщиков услуг применительно к уровням защиты приведен в таблице 11.
Таблица 11
Условное обозначение и номер меры | Содержание мер системы обеспечения операционной надежности | Уровень защиты | ||
3 | 2 | 1 | ||
ВПУ.5 | Диверсификация риска нарушения поставок и сопровождения объектов информатизации, в том числе по государственной принадлежности <*> | Н | О | О |
ВПУ.6 | Включение в договор (контракт) о разработке объектов информатизации или поставке готовых объектов информатизации финансовым организациям положений по сопровождению (технической поддержке) и (или) техническому обслуживанию поставляемых изделий на планируемый срок их использования <**> | Н | О | О |
ВПУ.7 | Пролонгация договора (контракта) относительно сопровождения (технической поддержки) и (или) технического обслуживания поставляемых объектов информатизации, предусмотренного мерой ВПУ.6, в случае принятия решения о расширении ранее планируемого срока использования поставляемых объектов информатизации <**> | Н | О | О |
ВПУ.8 | Установление требований к обеспечению операционной надежности и защиты информации на этапах жизненного цикла проектируемых и разрабатываемых по заказу, а также приобретаемых объектов информатизации | О | О | О |
ВПУ.9 | Проведение на регулярной основе анализа эксплуатируемых финансовой организацией объектов информатизации с целью выявления продуктов, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено или планируется прекратить | О | О | О |
ВПУ.10 | Принятие решений по объектам информатизации, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено, включая: - отказ от эксплуатации и замену объектов информатизации, сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено; - обоснование и документирование (фиксация) решения о дальнейшей эксплуатации объектов информатизации (их компонентов), сопровождение (техническая поддержка и выпуск обновлений) которых поставщиками прекращено | О | О | О |
ВПУ.11 | Организация сопровождения (технической поддержки и выпуска обновлений) объектов информатизации, сопровождение которых поставщиками прекращено, самостоятельно или посредством привлечения альтернативных поставщиков, включая разработку, применение и контроль дополнительных мер, направленных на устранение уязвимостей таких объектов информатизации <***> | О | О | О |
ВПУ.12 | Своевременное, планируемое и контролируемое техническое обслуживание объектов информатизации прикладного и инфраструктурного уровней, входящих в критичную архитектуру, в том числе: | |||
ВПУ.12.1 | - авторизация и регистрация операций, осуществляемых в рамках технического обслуживания, а также аутентификация осуществляющих их субъектов доступа | Н | Т | Т |
ВПУ.12.2 | - контроль соблюдения требований к обеспечению защиты информации в процессе технического обслуживания, направленных на обеспечение целостности, конфиденциальности и доступности информации | О | О | О |
ВПУ.12.3 | - проведение технического обслуживания в соответствии со спецификациями (техническими требованиями и условиями) поставщиков объектов информатизации и (или) требованиями финансовой организации | О | О | О |
ВПУ.12.4 | - тестирование (проверка) работоспособности объектов информатизации после проведения технического обслуживания для выявления риска нарушения операционной надежности | Н | Т | Т |
ВПУ.13 | Контроль удаленного технического обслуживания и диагностики, осуществляемых при подключении извне вычислительных сетей финансовой организации, в том числе предусматривающий: | |||
ВПУ.13.1 | - многофакторную аутентификацию субъектов доступа, осуществляющих удаленное техническое обслуживание и диагностику | О | Т | Т |
ВПУ.13.2 | - регистрацию операций, осуществляемых в рамках удаленного технического обслуживания и диагностики объектов информатизации; | Т | Т | Т |
ВПУ.13.3 | - завершение сессии и прерывание сетевого подключения субъектов доступа после окончания удаленного технического обслуживания | Н | О | Т |
ВПУ.13.4 | - последующий контроль и анализ операций, осуществляемых в рамках удаленного технического обслуживания и диагностики | О | О | О |
ВПУ.13.5 | - установление в договорах (контрактах) требований к осуществлению удаленного технического обслуживания и диагностики только посредством объектов информатизации, в отношении которых реализован тот же уровень защиты (в том числе защиты информации), который применяется для обслуживаемых объектов информатизации | Т | Т | Т |
ВПУ.13.6 | - использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании | Т | Т | Т |
ВПУ.13.7 | - применение средств защиты информации для защиты целостности и конфиденциальности сессий сетевого взаимодействия при удаленном техническом обслуживании и диагностике | Т | Т | Т |
ВПУ.13.8 | - контроль и подтверждение завершения сессий и прерывания сетевого подключения субъектов доступа после окончания удаленного технического обслуживания и диагностики | Н | Т | Т |
ВПУ.14 | Привлечение к сопровождению и техническому обслуживанию объектов информатизации финансовой организации лиц, обладающих соответствующей квалификацией | О | О | О |
<*> Для диверсификации риска нарушения поставок и сопровождения объектов информатизации по государственной принадлежности финансовые организации в том числе могут применять следующие меры: - планирование и реализация мероприятий по замещению импортозависимого программного и аппаратного обеспечения; - тестирование возможности использования программного и аппаратного обеспечения, произведенного компаниями, не подверженными санкционным рискам; - тестирование возможности использования ПО с открытым исходным кодом, применение которого не ограничивается каким-либо юридическим лицом; - планирование, на случай возникновения такой необходимости, мероприятий по переходу к использованию программного и аппаратного обеспечения, произведенного компаниями, не подверженными санкционным рискам, и (или) ПО с открытым исходным кодом, использование которого не ограничивается каким-либо юридическим лицом; - приобретение достаточного запаса аппаратного обеспечения и комплектующих к нему для осуществления оперативного ремонта без привлечения поставщиков продуктов и/или контрагентов, а также для обеспечения необходимого резерва вычислительных мощностей и дискового пространства на время переходного периода; - закупка ПО иностранного производства путем приобретения неисключительных прав на использование в собственность финансовых организаций вместо срочной подписки, а также безлимитных лицензий; - привлечение поставщиков услуг (в том числе поставщиков облачных услуг), в том числе приобретение услуг поддержки ПО, серверного и телекоммуникационного оборудования у компаний, деятельность которых менее подвержена влиянию санкционных рисков. <**> В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект документации, обеспечивающий возможность сопровождения объектов информатизации без участия разработчика. Комплект документации в том числе должен включать: - документацию администрирования, содержащую инструкции и (или) рекомендации по безопасному конфигурированию, установке и эксплуатации объектов информатизации; - документацию администрирования, содержащую инструкции и (или) рекомендации по применению настроек или мер безопасности; - пользовательскую документацию, содержащую сведения о доступных мерах безопасности, а также инструкции и (или) рекомендации по их применению; - пользовательскую документацию, содержащую инструкции и (или) рекомендации по безопасной работе пользователя с объектами информатизации. Если оба указанных варианта неприемлемы, например вследствие высокой стоимости или позиции поставщика (разработчика), лица, принимающие решения на стороне финансовой организации, должны оценить и зафиксировать допустимость риска реализации информационных угроз, возникающего при невозможности сопровождения объектов информатизации. <***> В случае отсутствия возможности отказа от эксплуатации таких объектов информатизации. | ||||
Подписаться на обновления